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Description 

Les objectifs des seli6mas GQ sont rauthentification dynamique d'entites et 
de messages ainsi que la signature num^rique de messages. Ce sont des 
schemas « sans transfert de connaissance ». Une entite prouve : elle connait 
un ou plusieurs nombres prives. Une autre entite controle : elle connait le 
ou les nombres publics correspondants. L'entit6 qui prouve veut convaincre 
I'entit^ qui contrSle sans r6v61er le ou les nombres priv6s, de fa9on h 
pouvoir les utiliser autant de fois que de besoin. 

Chaque sch6ma GQ repose sur un module public compost de grands 
nombres premiers secrets. Un exposant public v et un module public n 
forment ensemble xme cl6 de verification (v, n) signifiant «elever a la 
puissance v modulo n » et mise en oeuvre au moyen d'une ou plusieurs 
equations generiques, toutes du meme type, direct : G = Q" (mod n) ou 
inverse : GxQ" = 1 (mod n). Le type a un effet sur le deroulement des 
calculs au sein de I'entite qui controle, pas au sein de I'entite qui prouve ; en 
fait, les analyses de s6curite confondent les deux types. Chaque equation 
gen6rique lie im nombre public G et xm nombre priv6 Q formant ensemble 
un couple de nombres {G,Q}. En r6simi6, chaque schema GQ met en 
oeuvre un ou plusieurs couples de nombres {G, Q) pour la meme cl6 (v, n). 
Une version classiaue de schdmas GO. aopelte ici GOl. fait appel a vm 
sch6ma RSA de signature numerique. La cl6 de verification <v, n) est alors 
une cle publique RSA ou I'exposant v impair est de preference un nombre 
premier. Chaque schema GQl utilise en general un seul couple de nombres 
{G,Q) : le nombre pubUc G est deduit de donnees d'identification selon im 
m^canisme de format qui fait partie integrante du schema RSA de signature 
numerique. Le nombre prive Q ou bien son . inverse modulo n est une 
signature RSA des donnees d'identification. L'entite qui prouve demontre la 
connaissance d'une signature RSA de ses propres donnees d'identification et 
cette preuve ne revile pas la signature qui reste done secrete pour etre 



utilisee autant de fois que de besoin. 

Les schemas GQl mettent gen?ralement en ceuvre deux niveaux de cUs : la 
cle priv6e de signature RSA est reservee a une autorit^ accreditant des 
entit6s se distinguant les unes des autres par des donn^es ^identification. 
On dit qu'un tel sch6ma est « base sur I'identite ». Ainsi, un emetteur de 
cartes a puce utilise sa cle privee RSA h remission de chaque carte pour 
calculer un nombre priv6 Q qu'il inscrit comme cle priv6e diversifi6e dans 
la carte ; ou encore, un client sur un reseau d'ordinateurs utilise sa cle privee 
RSA a chaque entree en session pour calculer un nombre priv6 Q qui sera la 
cle privee ephemere du client durant la session. Les entit^s qui prouvent, 
cartes a puce ou clients en session, connaissent une signature RSA de leurs 
donnees d'identification ; elles-ne connaissent pas la cle privee RSA qui, 
dans la hierarchic des cles, se trouve au niveau immediatement superieur. 
Cependant, une authentification dynamique d'entites par GQl avec un 
module de 768 bits au niveau^d'une autoriti demande^a peu pres la meme 
charge de travaU qu'une authentification dynamique d'entites par RSA avec 
un module de 512 bits ^ trois facteurs premiers au niveau de chaque entite, 
ce qui pennet a I'entite qui prouve d"utiliser la technique des restes chinois 
en calculant un resultat modulo chacun des facteurs premiers avant de 
calculer un resultat modulo leur produit, 

Toutefois, la hierarchic de cles entre une autorit6 et les entites accreditees 
n'est pas obligatoire. On peut utiliser GQl avec un module propre a I'entite 
qui prouve, ce qui permet d'utiliser la technique des restes chinois pour 
reduire les charges de travail de I'entite qui prouve, ce qui ne change pas 
fondamentalement la charge de travail de I'entite qui contrdle, mis a part le 
fait qu'un module au niveau de I'entite qui prouve peut etre plus court qu'un 
module au niveau de I'autorite, par exemplei#12 bite*x;omf.aii4s^a 768 bits. 
Lorsque I'entite connalt les fecteurs premiers de son propre module, 
pourquoi faire appel a un schema RSA de signature numerique ?? 



Une autre version de schemas GO. appelee ici G02 616mentaire. fait appel 
directement au probleme de la factorisatr6n d'un module n. Dans ce 
contexte, « directement » signifie « sans faire appel a la signature RSA ». 
L'objectif de GQ2 est bien de r6duire les charges de travail, non seulement 
de I'entit^ qui prouve mais aussi de I'entite qui controle. L'entite qui prouve 
demontre la connaissance dhane decomposition de son propre module et 
cette preuve ne revile pas la decomposition qui reste done secrete pour 6tre 
utilisee autant de fois que de besoin. La s^curite du protocole GQ2 est 
equivalente a la factorisation du module. 

Chaque entite qui prouve dispose de son propre module n. Chaque schema 
GQ2 met en ceuvre im parametre k, petit nombre plus grand que 1 fixant un 
exposant public v= 2*, et im ou plusieurs couples de nombres {G^, Q^} k 
{G„, QJ. Chaque nombre public G, est le carre d'un petit nombre g, plus 
grand que 1 et appele « nombre de base ». Toutes les entites qui prouvent 
peuvent utiliser le ou les mdmes nombres publics G, k G„. La factorisation 
du module n et le ou les nombres priv6s (g, k Q„ sont alors au mSme niveau 
dans la hi6rarchie des c16s. Chaque ieu de cle s GQ2 616mentaires est d6fini 
par deux conditions n6cessaires et suffisantes. 

- Pour chaque nombre de base, aucune des deux Equations = ±g, (mod n) 
n'a de solution en x dans I'anneau des entiers modulo n, c'est-^-dire que les 
nombres ±g, sont dexxx residus non quadratiques modulo n. 

- Pour chaque nombre de base, I'equation x" = (mod n) ou v = 2* a des 
solutions en x dans I'anneau des entiers modulo n. Le nombre priv6 Q, ou 
son inverse modulo n est n'importe laquelle de ces solutions. 

Compte tenu de la deuxieme condition, pour que les nombres d^, soient 
deux residus non quadratiques modulo n, le module n doit comporter au 
moins deux facteurs premiers congrus a 3 (mod 4) par rapport auxquels le 
symbole de Legendre de g, difE^re. Par consequent, tout module compose de 
facteurs premiers dont aucun ou un seul est congru k 3 (mod 4) ne permet 



pas d'6tablir un jeu de cles GQ2 elementaires, ce qui privil^gie les facteurs 
premiers congms h 3 (mod 4). Or en prenant au hasard-des grands nombres 
premiers, il s'avere qn'ils sont environ pour moiti6 congms a 3 (mod 4) et 
pour moiti^ h 1 (mod 4). De ce fait, beaucoup de modules.RSA en usage ne 
permettent pas d'6tablir desjeux.de cles GQ2 elementaires. 
Nous introdmsons ici les ieux de cles G02 ge neralisees pour surmonter 
cette limitation afin de pouvoir utiliser des techniques GQ2 avec n'importe 
quel module, en particulier, n'importe quel module RSA ; ils reposent sur 
deux principes n^cesseiires et suffisants. 

T .ft premier principe reproduit la deuxieme condition de GQ2 616mentaire. 
— Pour chaque nombre de base g, a g„, I'^quation x sg,^ (mod n) oil 
V = 2* a des solutions en X dans I'anneau des entieiis modulo «. 
Parce que le nombre prive Q, ou bien son inverse modulo n est \me solution 
a r^quation, k-1 can-6s successifs modulo « le transforment emun nombre 
qui est une-raeineseairee de <3, dans»l'anneau des'«entiers modulo n. Selon 
que le nombre q, est 6gal a Uun des deux nombres-g, pu n-g„ pu different 
des deux nombres^g, et w-g„ nous disons qu'il est trivial ou non. Lorsqu'un 
nombre q, est non trivial, n qui divise g^-g' ne divise ni q.-g, ni g,+g,. Tout 
nombre q, non trivial r6v61e done une decomposition du module n. 

n = pgcd(/i, gr&)^Pg<^^("' 'ii^S} 
T f. ripiixieme Principe elaigit la premiere condition de GQ2 616mentaire. 

Parmi les nombres q, a au moins un nombre q, est non trivial. 

Observons que si un nombre q, existe alors que les nombres ±g, sont deux 
residus non quadratiques dans I'anneau des entiers modulo n, le nombre q, 
est manifestement non trivial. Ainsi, les jeux de cles GQ2 elementaires font 
bien partie des jeux de cles GQ2 gen6ralis6es qui permettent d'utiliser 
n'importe queltmoduie, .-c'estsk-diiseiPtoute comf!.^,si1a©n»de graads nombres 
premiers congms indifferemment ^ 3 ou ^ 1 (mod 4) dont au moins deux 
sont distincts. Par contre, beaucoup de jeux de cl6s GQ2 generalis6es ne 



sont pas des jeux de cles GQ2 el6mentaires. Chaque jeu de cles GQ2 
generalisees est dans run des deux cas suivants. — ^ 

- Lorsque les 2xm nombres ±gi a ±g„ sont tous des r^sidus non 
quadratiques, c'estunjeu de cles GQ2 elementaires. 

- Lorsque parmi les 2xm nombres Igj a ±g^, il y a au moins un residu 
quadratique, ce n'est pas un jeu de cles GQ2 elementaires; c'est ce que 
nous appelons ici un jeu de cles GQ2 compl6mentaires. 

La presente invention porte sur les ieux de cles GQ2 compl^mentaires , par 
definition, ces jeux de cl6s GQ2 gen6ralis6es qui ne sont pas elementaires. 
Outre les deux principes precedents, un tel jeu doit satisfaire un troisidme 
principe. 

— Parmi les 2xm nombres ±g^ a ±g^, il y a au moins un residu quadratique. 
Pour apprehender le probleme et comprendre la solution que nous en 
donnons, c'est-a-dire Tinvention, analysons d'abord la decomposition du 
module n revel6e par un nombre q non trivial, puis rappelons la technique 
des restes chinois, puis, la notion de rang dans un corps de Galois CG(p) ; 
puis, etudions les fonctiotis « elever au carre » dans CG(p) et « prendre une 
racine carr6e» d'lm r6sidu quadratique dans CG(p); enfin, analysons 
r applicability des trois principes enonc^s ci-dessus. 

Analyse des decompositions du module — De meme que le module n se 
decompose en / facteurs premiers k Pj, Tanneau des entiers modulo n se 
decompose en / corps de Galois CGip^ a CG{p). Dans chaque corps, il y a 
deux racines carrees de Timite, a savoir ±1. Dans Tanneau, il y a done 2^ 
racines carrees de Tunite. Chaque nombre prive a definit xm nombre 
A. = q. I gj (mod n) qui est une de ces 2^ racines carrees de Tunite dans 
Tanneau ; en d'autres termes, n divise A/— 1 . 

• Lorsque q. est trivial, c'est-i-dire A. = ±1, n divise A,-l ou bien A,+l et 
done A, ne revele pas de decomposition du module n. 

• Lorsque q. est non trivial, c*est-a-dire A^^±l, nnc divise ni A— 1 ni A^+1 



et done A, revile une decomposition, n = pgcd(/i, A-l)xpgcd(n, A,+l), 
resultant de la valeur de A. dans chaque corps : le ou les facteurs premiers 
divisant A-1 d'un cote, celui ou cexix divisant A.+l de I'autrei??- 
Examinons les regies de composition multiplicative-des -^nombres q. Deux 
nombres {^p g^} donnent un nombre compose ^,x^|r^ (mod n). 

- Lorsque ^, est non trivial et trivial, le nombre compos6 g,xgj (mod n) 
est non trivial ; il revfele la meme d6composition que q^. 

- Lorsque q^ et q^ sont non triviaux et A, = ±Aj, le nombre compose ^jX^r^ 
(mod n) est trivial ; il ne revele pas de decomposition. 

- Lorsque et q^ sont non triviaux et A, ^ lAj, le nombre compost g,xg2 
(mod n) est non trivial ; il revile une troisieme decomposition. 

Trois nombres -{^1, ^3} donnent quatre nombres- eompos6s {^iXg2, 9,x^3» 
92^3' (^°^ soit un total^de sept nombres nombres donnent 

ainsi 2"'-m-l nombres composes/^soit un total><dei2"'-l nombres. 
Consid6r©ns»un jeu'de cleSfGQ2lgeneFaliseesscompjE)irtant.z nombres de base 
a g, et i nombres priv6s-«e, a Q, donnanfr^x nombres g,. a q. et done i 
nombres A, a A, quissont-'des radmesvi:de 4'umt©» iCherekons a prendre en 
compte un autre nombre de base g^, par un nombre priv6 g^, donnant un 
nombre q|^^ et done une racine A^,. 

• Le total des 2** -1 nombres comporte autant de nombres non triviaux dans 
chacun des deux eas suivants. 

- La racine A est triviale et au moins ime racine A, a A, est non triviale. 

- La racine A^, est non triviale et figure parmi les 2xi racines ±A, a ±A,. 

• Dans le cas ou la racine A^, est non triviale et ne figure pas parmi les 2xi 
racines ±A, a ±Ap chaque nombre compose ou figure q^^ est non trivial. 

Par consequent, lorsque parmi m nombres q^ a q„, au -moins un est non 
trivial, plus de la moitie'^du total'^esj?"-! nomfesis souJfeaon triviaux. 
Par definition, nous disons que / < / nombres non triviaux g^, ... q,} 
sont independants par rapport au module n lorsque chacun des 2-/-1 



nombres composes correspondants est non trivial, c'est-a-dire que, au total, 
les 2-1 nombres sont tous non triviaux. Chacun de ces 2-1 nombres revele 
alors ime decomposition difFerente du module n. 

- Lorsque les / facteiirs premiers sont distiacts, il y a 2^—1 d6compositions 
du module n. Alors, si /-I nombres q sont independants, il y a une 
correspondance bixmivoque entre les 2^^— 1 decompositions et im total de 
2^—1 nombres comprenant les f-\ nombres ind^pendants . et les 2^*-/ 
nombres composes correspondants. 

Restes chinois — Soient deux nombres attb premiers entre eux tels que 
Q<a<b^ et deux nombres A], de 0 a a-l et JT^ de 0 a b-\ ; il s'agit de 
determiner le nombre unique X de 0 ^ axb-l tel que ^X(mod a) et 
a; = X(mod b), Le nombre {b (mod a)}'^ (mod d) est le parametre des 
restes chinois. Voici T operation elementaire des restes chinois. 
x^X^ (mod d) 

y = X-x ; si y est negatif, remplacer jv par jH-c 

zsotxy (mod a) 

X^zxb+X, 

En res\mi6, nous ecrivons : X = Restes Chinois {X^^X^. 
Lorsque/ facteurs premiers sont ranges dans I'ordre croissant, du plus petit 
/7j au plus grand Pj, les parametres des restes chinois peuvent 6tre les 
suivants (il y en a un de moins que de facteurs premiers, c'est-a-dire/-l). 

- Le premier parametre est a = (pj (mod p^)"^ (mod 

- Le second parametre est p = (p,><P2 (mod p^)'^ (mod p^. 

- Le z-ieme parametre est X s (p^x . . . p^^ (mod p.))"' (mod /?.). 

- Et ainsi de suite. 

En /-I operations elementaires, on etablit \m nombre de 0 a w-1 a partir 
de tout jeu de / composantes de X, a JS^ avec de 0 a pf\ : 

- un premier r6sultat (mod p^yp^ avec le premier parametre, 

- puis, un second resultat (mod p^xp^p^ avec le second parametre. 



- jusqu'au r^sultat final (mod n = p^xp^ ...p) avec le demier parametre. 
En r6sum6, etant donn6s les facteurs premiers p^ a pj, chaque element de 
I'anneau des entiers modulo n a deux representations 6quivalentes : 

- /nombres X, a^^ une composante par facteur premier :Xj = X{vciodp), 

- un nombre XdsOkn-l,X= Restes Chinois (AT,, X^,...X). 

Rang des nombres dans CG{p) — Soit un nombre premier impair/? et un 
nombre a plus petit que p, c'est-^-dire 0 < a <;?. Par definition, le rang de a 
par rapport a p est la periode de la suite {X} d6finie par {x, = a\ puis, pour 
1, x,^, s aX3c, (mod p)}. Grace au theoreme de Fermat, nous obtenons : 
jc^^ s ctxx^ s axx, = x,^^ (mod p). Par consequent, le rang d'un nombre a par 
rapport a un nombre premier p estp-l ou im diviseur dep-l. 
Par exemple, Icrsque (p-l)/2 est un nombre premier impair/?', le corps de 
Galois CG(p) comporte un nombre de rang 1 : c'est 1, un nombre de rang 
2 : c'est-1,/7 -1 nombres de rang/?' et/7-1 nombres de rang 2>^'=/^-l. 
Dans CG(p), tout nombre de rang p-1 est un « generateur ». La denomi- 
nation est due au fait que les puissances successives d'un gen6rateur dans 
CG(p), c'est-a-dire les tennes de la suite {X} pour les indices del kp-l, 
forment ime permutation de tons les elements non nuls de CG(p). 
Soit un generateur y de CG(p). Evaluons le rang du nombre y (modp) en 
fonction de i et de p-l. Lorsque i est premier avec/?-l, c'est/7-1. Lorsque i 
divise/7-1, c'est (p-iyt Dans tous les cas, c'est (p-l)/pgcd(p-l, 0- 
Par definition, la fonction d'Euler q)(«) est le nombre de nombres plus petits 
que n et premiers avec «. Dans CG(p), il y a (p(p-l) generateurs. 
A tilre d'illustration, le rang fait bien comprendre les bases du RSA. Le 
module n est le produit de/facteurs premiers/?, a/?,avec/> 2. Pour chaque 
facteur premier /?, de p, a p^ T exposant public e doit Stre premier avec p-l . 
Mors, la cle <e, p) respecte le rang des el&nents de CG(p,) : elle permute les 
elements de CG(p) ; il existe un nombre dj, generalement le plus petit 



possible, tel que p-l divise exdj-l. La cle idj,p) inverse la permutation des 
elements de CG(p). Ces / pemiutations, une dans chaque corps CG(p^) a 
CG(py), se traduisent dans Tanneau des entiers modulo n par la permutation 
RSA resumee par la cle publique {e, n), II existe un nombre gen^ralement 
le plus petit possible, tel que ppcmO,-l, j!?^-!, .../y-1) divise dxe-1. Pour 
chaque facteur premier p^, de a/?^ on a d, = d (mod p-l)^ La permutation 
RSA resumee par la cle publique (e, n) est inversee par la cle privee {d^ n). 
Carres dans CG(p) — Definissons un nombre t tel que p-1 est divisible 
par 2\ mais pas par I'^K Chaque grand nombre premier figure dans ime et 
une seule categoric: f=l, / = 2, / = 3, ^ = 4, et ainsi de suite. Si Ton 
considfere un assez grand nombre de nombres premiers successife, environ 
xm sur deux figure dans la premiere categoric ou p est congru a 3 (mod 4), 
un sur quatre dans la deuxieme ou p est congm a 5 (mod 8), un sur huit 
dans la troisieme ou p est congm a 9 (mod 16), un sur seize dans la 
quatrieme ou p est congru a 17 (mod 32), et ainsi de suite ; en moyenne, un 
sur 2' figure dans la /-ieme categoric ou p est congru a 2'+l (mod 2"*^*). 
Parce que les nombres x et p-x ont le meme carr6 dans CG(p), la cl6 (2,/?) 
ne permute pas CG(p). La fonction « elever au carr6 » dans CG(p) peut se 
repr^senter par un graphe oriente oh chaque 616ment non nul du corps 
trouve sa place. Analysons la structure du graphe en branches et en cycles 
selon la parite du rang de chaque 61ement. 

- L'el6ment nul est fixe . C'est 0. Le rang n'est pas defini pour Teldment 
nul auquel aucun autre element ne se rattache ; Telement nul est isole. 

- L'element vmite est fixe , Cest 1, le seul element de rang L Toutes les 
racines de Timite dans CG(p) se trouvent dans la branche se rattachant a 
I. Soit^ un residu non quadratique de CG(p), n'importe lequel ; la cle 
((p-l)/2\p) transforme y en une racine 2''*-ieme primitive de -1 notee 
par ; en effet, on a = -1 (mod p). Par consequent, dans CG(p), 
les puissances de b pour les exposants de 1 a 2"^ sont les 2'"* racines de 
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rumt6 autres que 1 : elles composent la branche se rattachant a 1. 
Le carre de tout element de rang pair est un autre 616ment dont le rang 
est divis6 oar deux . Par consequent, chaque ^l^ent de rang pair se 
place dans une branche ; chaque branche eomporte un nombre de rang 
divisible par deux mais pas par quatre, puis, si / > 2, deux nombres de 
rang divisible par quatre mais pas par huit, puis, si / > 3, quatre 
nombres de rang divisible par huit mais pas par seize, puis, si ? > 4, huit 
nombres de rang divisible par seize mais pas par 32, et ainsi de suite. 
Toutes les branches sent semblables a la branche rattachee a 1 ; les 2""' 
feuilles de chaque branche sont des r6sidus non quadratiques ; chaque 
branche eomporte 2-1 616ments et se rattache k un 616ment de rang 
impair ; il y a (p^l)/2' branches qui ont toutes la m6me longueur 
. Le carr6 de tout element de rang impair autre que l'616ment unite est un 
autre element avant le m6me rang . La cle {2,p) pennute-1' ensemble des 
(p-iyi' 616ments- de rang impair. La permutation se decompose en 
cycles-de permutation. Le nombre de cycles depend de la factorisation 
de (p-l)/2'. Pour-chaque diviseut de-(p-l)/2', il y a un cycle 
comportant les (pip') Elements de rang p'. Rappelons que par definition, 
la fonction d'Euler (pCpO est le nombre de nombres plus petits quep' et 
premiers avecp'. Par exemple lorsque/?' = 0>-l)/2' est premier, les;?'-l 
nombres de rang/?' ferment un grand cycle de permutation. 
Les figures lA a ID iUustrent chacune un firagment de graphe pour p 
congru respectivement a 3 (mod 4), 5 (mod 8), 9 (mod 16) et 17 (mod 32). 
Les feuilles sur les branches sont representees par des ronds blancs ; 
ce sont des residus non quadratiques. 

Les noeuds dans les branches sont representes par des ronds gris ; ce 
sont des elements qua^atiqjaes^e f ang 

Les noeuds dans les cycles sont represent^ par des ronds noirs ; ce 
sont des el&nents quadratiques de rang impair. 
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Racines carrees dans CG(p) — Sachant que a est un residu quadratique de 
CG(p), voyons comment calculer une solution a I'equation = a (mod 
c'est-a-dire « prendre ime racine carree» dans CG(p). II y a bien sur 
plusieurs fa^ons d'obtenir le meme r^sultat : on pourra consulter les pages 
31 a 36 du livre de Henri Cohen, a Course in Computational Algebraic 
Number Theory, public en 1993 par Springer a Berlin comme volimie 138 
de la serie Graduate Texts in Mathematics (GTM 138). 
Le nombre s = (p- 1+20/2"*^* donne une cl6 (s,/?> qui vaut : 

<(p+l)/4,/7> lorsque p est congru k 3 (mod 4), 

{(/7+3)/8,/7) lorsque p est congm a 5 (mod 8), 

{(p^iyi 6, p) lorsque p est congru k 9 (mod 16), 

<(p+ 1 5)/32, p) lorsque p est congra ^17 (mod 32), 

et ainsi de suite. 

- La cle {s,p) transforme tout element d'un cycle en Telement precedent 
dans le cycle, Lorsque a est de rang impair, c'est la solution de rang impair ; 
nous la nommons w. En effet, dans CG(p), y/la vaut a eleve a la puissance 
(2x(^l+2')/2'* = (p-l)/2'. L'autre solution est de rang pair ; c'est p-w. 

- D'une maniere g6nerale, la cle (s,/>) transforme tout r6sidu quadratique a 
en une premiere approximation de solution que nous nonunons r. Pvdsque a 
est un residu quadratique, la cle (2''\p) transforme certainement r/a en 1, 
Pour se rapprocher d'une racine carree de a, elevons rVa a la puissance 2^^ 
(mod p) pour obtenir +1 ou -1. La nouvelle approximation reste r si le 
resultat est +1 ou bien devient bxr (mod p) si le resultat est -1, sachant que 
b designe n'importe quelle racine 2-ieme primitive de 1 dans le corps 
CG(p). Par consequent, la cle (2'"^,/?) transforme la nouvelle approximation 
en 1. On pent encore se rapprocher en utilisant la cle (2'"\p) et en 
multipliant par b^ (mod p) s'il le faut, et ainsi de suite. 

L'algorithme suivant resout Tequation. II utilise les nombres a, 6, ^, r et / 
d6finis ci-dessus et deux variables : c represente les corrections successives 



et w les approximations successives. Au debut de ralgorithme, c = b et 
w = r.A Tissue du calcul, les deux solutions sont w et p-w. 
Pour / allant de t-2 k 1, repeter la sequence suivante : 

- Appliquer la cle {2\p) au nombre \v/a (mod p) pour obtenir +1 ou -1. 

- Lorsque Ton obtient -1, remplacer w par wxc (modp). 

- Remplacer c par (mod p). 

Applicability des principes — Par definition, nous disons qu'im parametre 
k, un nombre de base g et un facteur premier p sont cgmpatible^ lorsque 
r^quation x' = g (mod p) oxx. I'exposant v vaut 2* a des solutions en x dans le 
corps CGip). Les nombres A: et g sont petits et plus grands que 1 . Le nombre 
p est un grand nombre premier. 

_ Lorsque t=\, c'est-a-dire p = 3 (mod 4), T^quation a deux solutions. 

- Lorsque t = 2, c'est-a-dire p = 5 (mod 8), selon le symbole de Legendre de 
g par rapport p, I'^quation a quatre solutions si (g|p) = +1 ; elle n'a pas de 
solution si (g|^?) - -^1 . 

- Lorsque t > 2, c'est-^-dire j? s 1 (mod-S), soit m le nombre tel que 2" divise 
le rang du nombueipublic G = g^par^rapp€>rt-ii?, mais que 2"*' ne le divise 
pas ; par consequent, u est egal a I'un des nombres de 0 ^ t-1. L'equation n'a 
aucune solution si m > 0 et Ah-m > ^ ; elle a 2* solutions si Ah-m < f ; elle a 2' 
solutions si M = 0 et ^ > ^. 

II y a done deux types de compatibilite selon que G est dans un cycle ou 

bien en position appropriee dans une branche. 

Lorsque G est dans un cycle, c'est-a-dire u = Q quelle que soit la valeur 
de ^, il y a une solution de rang impair dans le cycle et des solutions 
de rang pair diss6min6es dans a = mm(k, t) branches consecutives 
rattachees au cycle, soit 2" solutions en tout. La figure 2 A illustre ce 
cas avee^i^ > ^= 3, c'est*a-diiemnjfa©teimpreiinierj!.eongrip^ 9 (mod 16), 
ce qui impose u-O. 

Lorsque G est en position appropri6e dans une branche, c'est-i-dire 
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M > 0 et u+k < il y a 2* solutions, toutes de rang pair et dans la 
— ^ branche. La figure 2B illustre ce cas. 

Etant donne un parametre ^, il y a done deux types de facteurs premiers 
selon que la valeur de / est inferieure ^ ^ ou bien sup6rieure ou egale h. k. 
Pour tout facteur premier Pj tel que t < k, chaque G, doit etre dans un 
cycle et il n'y a pas de solution dans la branche rattachee a G,. 
D6finissons un nombre A^^ qui vaut +1 ou -1 selon que. g, ou -g, est 
dans le cycle. II n'y a pas de choix pour aucun des m nombres A,j a A^. 
La figure 3 A illustre un cas / < it : G, est dans un cycle avec im fecteur 
premier Pj congru a 9 (mod 16), c'est-^-dire, m = 0, r = 3 avec k>3. 
Pour tout facteur premier Pj tel que / ^ ^, chaque G, doit 6tre tel que 
u+k<t, c'est-a-dire, ou bien dans un cycle avec w = 0 ou bien en 
position appropri6e dans ime branche avec I <u< t-k. Definissons un 
nombre A^ qui vaut +1 ou -1 selon que Q.j se trouve dans la partie de 
graphe rattachee a ou a -g,. II y a le choix pour chacun des m 
nombres A,^ i A^; chaque nombre A^ peut etre individuellement 
bascule d'une valeur ^ I'autre. La figure 3B illustre un cas f ^ ^ : est 
dans une branche avec un fecteur premior Pj congru k 11 (mod 32), 
c'est-^-dire, « = 1, ^ = 4 avec k=3. 
Chaque jeu de/composantes {A^, ... A^^} est une racine carr6e de I'unit^ 
dans CG(p). Cette racine est triviale ou pas selon que les / composantes 
sont egales ou pas ; nous disons alors que le jeu de / composantes est 
constant ou variable, ce qui traduit le fait que le nombre q, est trivial ou pas. 
Par consequent, lorsqu'un nombre q, est non trivial, le jeu de/composantes 
{A^, ... A^^} resume une decomposition du module. II est done possible de 
tester les principes avant de calculer les composantes privees Q,j. 

- Lorsqu'un nombre public G, est dans un cycle pour un facteur premier 
p , le nombre A^ vaut +1 ou -1 selon que g, ou -g^ est dans le cycle. 
Lorsque Pj^'i (mod 4), c'est le symbole de Legendre : Ay = (g,|p,)- 



- Lorsqu'un nombre public G. est en position appropriee dans une 
branche pour un facteur premier Pj, on peut determiner la valeur a doimer 
a Ay avant de calculer la composante privee Q^j. 

Production^de jeux de «les^^^^ — Etant donne un parametre k,*il y a deux 

strategies. 

- Ou bien le generateur demande / facteurs premiers afm de determiner m 
nombres de base. Les premiers nombres premiers : 2, 3, 5, 7, ... sont 
examines pour ^valuer leur compatibility avec chacim des / grands 
facteurs premiers p^ a Pj. Bien que g = 2 ne soit pas compatible avec 
p = 5 (mod 8), 2 peut entrer dans la composition d'un nombre de base. 
En effet, loreque deux nombres sont en position similaire dans une 
branche, leur produit est plus pr^s du cy©ley/tout comme un carre 
rapproche du cycle. On peut ainsi obtenir tm nombre de base en 
composant des-nombres qui indimduellement ne conviennent pas. 
Ou bien^e generateur demandeiim nombres de base et des caracteris- 
tiques-idu module telle qu'une*5taille en bits (par exemple, 512, 768, 
1024, 1536, -2048)Het un nombre'>de bits suGcessifs 1 en poids forts 
(par exemple, 1, 8, 16, 24, 32) afin de determmer / > 2 facteurs 
premiers. Not6s par ... g„, les nombres de base figurent 

g6n6ralement parmi les premiers nombres premiers : 2, 3, 5, 7, 11, ... 
ou bien ce sont des combinaisons des premiers nombres premiers. Faute 
d'indication contraire, ce sont les m premiers nombres premiers : = 2, 
g^=3,g^ = 5,g^ = '7,... Notons que/? = 5 (mod 8) n'est pas compatible 
avec g=2. Le module n sera le produit de / facteurs premiers de taiUes 
voisines, a savoir la taille assignee au module divisee par/. 
Premier principe — Le^paiwabtre k, chaque facteur premier/? allant de/?, a 
p^ et 'ehaque^iaombr©'de 4!)asea»g allaiat«deyg, a doi94@at*6tise*«^eompatibles. 
D6finissons un nombre h tel que 2* divise le rang de g par rapport kp, alors 
que 2**' ne le divise pas. Pour calculer le nombre h, la procedure suivante 
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utilise le symbole de Legendre {g\p) et un nombre b, racine 2-ieme 
primitive de runite dans GG(p). 

- Si {g\p) = +1 avec ^ = 1, retoumer « A = 0 ». 

- Si = +1 avec t > 1, appliquer la cle {(p-Hiyi'^^p) a G pour obtenir 
un resultat appele w. 

Si w = retoumer « A = 0 ». 

Si w = p-g, retoumer «h = l». 

Sinon, mettre ckbot pour / allant de t-1 a 2, 

- appliquer la cl6 <2', /?> a w/g (mod /?) pour obtenir ±1 , 

- si -1, mettre hhiot remplacer w par wxc (mod p)^ 

- remplacer c par (mod 
Retoumer « valeur de /t de 2 a /—I ». 

- Si (g\p) = -1, retoumer «h=^ t ». 

Rappelons que Kg cXp sont incompatibles lorsque w > 0 avec k^u > / ; ils 
sont compatibles lorsque A = 0 ou 1, quelle que soit la valeur de K 
6galement lorsque h > 1 avec k^h < /+1 . 

Second principe — Les trois procedures suivantes correspondent a differen- 
tes implementations du second principe. Dans certaines implementations, le 
second principe peut 6tre renforce au point d'exiger que chaque nombre a 
soit non trivial. Le r61e des nombres de base est alors equilibr^ ; le fait 
d'equilibrer ou pas le second principe a im efFet sur certains aspects de 
demonstration de la securite du schema. Enfin, lorsqu'il y a/> 2 facteurs 
premiers distincts, parmi les m nombres {q^ ... qj^ on peut exiger qu'il y ait 
au moins un sous ensemble dcf-l nombres independants. 
Les trois procedures utilisent mxf nombres 5.^ definis comme suit. 

Lorsque Pj est tel que t<k, pour / allant de 1 a m, 5,^ = A^, c'est-a-dire 

+1 si/iy = Oet-l sih^= 1. 

Lorsque Pj est tel que t>k, pour i allant de 1 a m, 5.^. = 0, ce qui indique 
que Aj a A^ peuvent etre choisis en fonction du deuxieme principe. 
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Une premiere procediire verifie qu'au moins un jeu {6^1 ... 5.^} est variable 
ou nul, c'est-a-dire qu'au moins un nombre a est non trivial ou peut 
etre choisi non trivial. 

Pour / allant de 1 a m ety allant de 1 a/, 

- si 5^, = 0 ou 9t 6. J, retoumer « succes ». 

Retoumer « echec ». 
Une deuxieme procedure verifie que chaque jeu {5., ... 5,^} est variable ou 
nul, c'est-^-dire que chaque nombre a q^ est non trivial ou peut etre choisi 
non trivial. 

Pour / allant de 1 a m, 
pour j allant de 1 a^^ 

- si 5^^. = 0 ou 7t 5, p passer a la valeur suivante de /. 

Retoumer « echec ». 
Retoumer « succes ». 
Une troisidme procedure verifie que pour chaque paire de facteurs premiers 
Pjx et PJ^ avec 1 <7, < 72 ^f/^y ^ au moins un jeu {5,, ... 5.^} ou 5,^, est nul 
ou different de 5,«. Elle 6choue manifestement lorsque m est plus petit que 
f-1. Lorsqu'eUe reussit, parmi les m nombres k q„, H y a. au moins un 
ensemble def-l nombres ind^pendants par rapport aux/facteurs premiers. 
Pour j\ allant de 1 i/-l et povaj\ allant dey,+l hf, 

pour / allant de 1 ^ m, 

. si = 0 ou 9t 5,^, passer aux valeurs suivantes dej\ etj\. 

Retoumer « echec ». 
Retoumer « succes ». 
Lorsqu'une procedure echoue, le generateur de jeux de cl6s GQ2 suit sa 
strat6gie parmi les deux strategies possibles : 

- changer I'un des m nombres de base en gardant les/facteurs premiers, 
_ changer Tun des/facteurs premiers en gardant les m nombres de base. 
Troisieme prindpe — La procedure suivante ddteraune si le jeu de cl6s 
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GQ2 generalis6es en cours de production ou d6ja produit est 

un jeu de cles GQ2 elementaires, c'est-a-toe que les 2xm nombres 
±gj a ±g^ sont tons des r6sidus non quadratiques, 
ou bien, un jeu de cles GQ2 complementaires, c'est-a-dire que panni 
les 2xm nombres a ±g^, il y a au moins un residu quadratique. 

La procedure utilise les deux symboles de Legendre (g, {p) et (-g, [p) pour 

/ allant de 1 a /w et pour j allant de 1 a/ 
Pour / allant de 1 a m, 
pour J allant del hf, 

- si (g^ I = -1 , passer k la valeur suivante de /. 
Retoumer « jeu de cl6s GQ2 complementaires ». 
pour J allant de 1 

- si (-g; I Py) = -1 J passer k la valeur suivante de /. 
Retoumer « jeu de cles GQ2 complementaires ». 

Retoumer « jeu de cles GQ2 elementaires ». 
Composantes privies — Pour ime equation de type direct : x = gf (mod/?.), 
les calculs sxiivants etablissent toutes les valeurs possibles de la composante 
priv6e 0,^. Les deux cas les plus simples et les plus courants, c'est-a-dire 
r = 1 et / = 2, sont suivis par le cas plus complexe, c'est-a-dire / > 2. 
Pour t = 1, c'est-a-dire s 3 (mod 4), la cle {{pj^\)l^,p) donne la racine 
carree quadratique de n'importe quel residu quadratique dans CG(p). On en 
deduit un nombre = ((p/l)/4)* (mod (p^-l)/2), ce qui donne une cl6 (sj,p) 
transformant G. en w = Gf (mod p). Q,^ est egal a w ou bien kp-w. 
Pour r = 2, c'est-a-dire p, = 5 (mod 8), la cle ((p+3)/8,;7,) donne la racine 
carree de rang impair de n'importe quel element de rang impair dans 
CGip). On en deduit un nombre jr^= ((p+3)/8)* (mod (p-l)/4), ce qui 
donne ime cle isj,p) transformant en w s Gf (mod p). Remarquons que 
z = 2^^'^* (mod p) est une racine carree de -1 parce que 2 est un residu non 
quadratique dans CG(p). Q^j est 6gal kw ou bien a p-w ou bien encore a 



w' s wxz (mod p) on bien a p-w'. 

Pour /x^ s 2'+l (mod 2"') avec f > 2, la cU <(p,-l+2')/2'",p^ doil^e la racine 
carr6e de rang impair de n'importe quel il6ment de rang impair. Le test de 
compatibilite entre k, get pa donn6 la valeur de h, puis celle de»M. 

- Lorsque G. est dans un cycle (u = 0, quelle que soit la valeur de k), on 
etablit un nombre s. = {(p-l+l')/!'"')'' (mod (p-l)/2'). La cle {sj,p) 
transfonne G, en la solution de rang impair w = Gf (mod p). II y des 
solutions de rang pair r^parties dans niin(A:, t) branches cons^cutives 
rattach6es au cycle, disons dans a branches. est egal au produit de w 
par n'importe laquelle des racines 2"-i6mes de I'lmit^ dans CG(p,). 

- Lorsque est en position appropriee dans une branche (m > 0, tt+k < t), 
toutes les solutions sont dans la m€me branche que G„ branche rattachee 
a un cycle par la puissance 2"-i©tne du nombre G,. On 6tablit im nombre 

= ((p-l+iyi'^y imod Op.-l)/2')TLa cl6 {s.,p) transforme^la puissance 
2"-ieme de G, en un nombre de rang impair w. L'ensemble des produits 
de w par les racines 2*^Memes .Emnitives de I'unite dans CG(p) 
comprend les 2* valeurs de Q,j. 
Lorsque Pj est tel que t>k,le nombre bj etant une racine 2'-ieme primitive 
de runit6 dans CGip), la puissance 2""-ieme de b, dans CG(p^) existe ; c'est 
une racine 2*-ieme primitive de I'unit^. MultipUer par une racine 2*-iteie 
primitive de I'unit^ permet de basculer la valeur du nombre \. 
Pour une 6quation de type inverse : 1 s x'xg^ (modp^, il suffit de remplacer 
le nombre Sj par ((p-l)/2')-s, dans la cle isj,p), ce qui revient a mverser la 
valeur de dans CG(p). 

Example de jeu de cles a deux facteurs premiers congrus a 5 (mod 8) 

p, = E6C83BF428689AF8C35E07EDD06F9B39A659829A58B79CD894C 

435C95F32BF25 

p,= llBF8A68AO817BFCC00F15731C8B70CEF92O4A34133A0DEF862 
829B2EEA74873D 



n = /7,xpj = FFFF8263434F173D0F2E76B32D904F56F4A5A6A50008C43 

D32B650E9AB9AAD2EB713CD4F9A97C4DBDA3828A3954F296458D5>^ 

F42C0126F5BD6B05478BEOA80ED1 

Voici les symboles de Legendre des tout premiers nombres premiers. 

(2 \p,) = -1; (3 = -1; (5 = +1; (7 \p,) =-1; 

(11 1/7,) = +1; (13 1/7.) =-1; (17 \p,) = +1; 

Dans CG(p,), le rang est impair pour -5, -1 1 et 17. 

(2 = -1; (3 1/7^ = +1; (5 1/7^ = +1; (7 Ip^) = +1; 

(1 1 1/7^ = +1; (13 = -1; (17 1/7^ = -1; 

Dans CGOOj), le rang est impair pour 3, -5, 7 et 1 1 . 

La fonction de Carmichael est "Mn) = ppcm((/? -l)/4, (pj-l)/4). 

;^«) = 33331 A13DA4304A5CFD617BD6F834311642121543334F40C3D5 

7A9C8558555D5BDAA2EF6AED17B9E3794F5 1 A65A1B37239B 1 8FA9 

B0F6 1 8627D8C7E1 D8499C 1 B 

Avec ^ = 9, on utilise le nombre c = 7j(n) - ((l+X<n))/2)' (mod Mn)) comme 
exposant prive, de fafon a utiliser des equations gen6riques de type inverse, 
a = 01E66577BC997CAC273671E187A35EFD25373ABC9FE6770E7446 
C0CCEF2C72AF6E89D0BE277CC61 65F1 007 1 87AC58028BD241 6D4CC 
1 121E7A7A8B6AE186BB4B0 

Les nombres 2, 3, 7, 13 et 17 ne conviennent pas comme nombre de base. 
La cl6 (a, n) transforme g, = 5 en im nombre priv6 g, qui ne r6v61e pas de 
decomposition. En effet, dans les deux corps, -5 est sur un cycle, 
e, = 818C23AF3DE333FAECE88A71C4591A70553F91D6CODD5538EC 
0F2AAF909B5BD AD49 1 FD8BF 1 3F 1 8E3D A3774CCE 1 9D0097BC4BD4 
7C5D6E0E7EBF6D89FE3DC5 176C 

La cle <a, n) transforme gj = 1 1 en un nombre priv6 qui revele une 
decomposition. En effet, 1 1 n'est pas en meme position dans les deux corps. 

= 25F9AFDF177993BE8652CE6E2C728AF31B6D66154D3935AC535 
1 96B07C 1 9080DC962E4E86ACF40D0 1 FDC454F2565454F290050DA05 



2089EEC96A1B7DEB92CCA7 

La cl6 {a, n) transforme g^ = 21= 3x7 en un nombre prive qui r6vdle une 
decomposition. 

^3 = 78A8A2F30FEB4A5233BC05541 AF7B684G2406415EAiDD67Dl 8 
A0459A1254121E95D5CAD8A1FE3ECFE0685C96CC7EE86167D99532 
B3A96B6BF9D93CAF8D4F6AF0 

La cl€ (a, n) transforme = 26 = 2x13 en un nombre prive qui revdle 

une d6;;omposition. 

= 6F1748A6280A200C38824CA34C939F97DD2941DAD300030E481 
B738C62BF8C673731514D1978AF5655FE493D659514A6CE897AB76C 
01E50B5488C5DAD12332E5 

La cle privee peut encore se repr^enter par les deux factems premiss, le 
parametre des restes chinois et huit composantes privees. 
a = (p, (mod p,))-' (mod /7,) = ADE4E77B703F5FDEAG5B9AAE825D649 
E06692D 1 5FBFGDF737B M 5DC4D0 1 2FD 1 D 

Qi.i = Qi (mod/?,) = 7751A9EE18A8F5CE44'AD73D613A4F465E06C6F9 
AF4D2299496f 4DD6C1 8D76FM? 

Qia = Qi (modi'j) = A9EB5FA1B2A981 AA64CF88C382923DB64376F5F 
D481 52C08EEB61 14F3 1B7665F 

QzA = Q2 (mod a) = D5A7D33C5FB75A033F2FOE8B20274B957FA3400 
4ABB2C2AC1 CA3F5320C5 A9049 

Q2,2 = Qi (modi?,) = 76C9F5EFD066C73A2B5CE9758DB512DFC011F5B 
5AF7DA8D39A961CC876F2DD8F 

Qs.i = (mod/?,) = 2FEC0DC2DCA5BA7290B27BC8CC85C938A514B 
8F5CFD55820A174FB5E6DF7B883 

03.2 = 03 (mod/7,) = 010D488E6B0A38A1CC406CEE0D55DE59013389D 
8549DE49§413F346G4A160€1369-^ 

24.1 = Q4 (mod i^,) = A2B32026B6F82B6959566FADD9517DB8ED85246 
52145EE159DF3DC0C61FE3617 
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24,2 = Qa (mod p^) = 01 1A3BB9B607F0BD71BBE25F52B305C224899E5 
F1F8CDC2FE0D8F9FF62B3C9860F 

Polymorphisme de la cle privee GQ2 — Les diverses representations 
possibles de la cle privee GQ2 s'averent equivalentes : elles se ramenent 
toutes a la connaissance de la factorisation du module n qui est la veritable 
cle privee GQ2, La representation de la cle privee G02 a un effet sur le 
deroulement des calculs au sein de Tentit^ qui prouve. pas au sein de 
rentite qui contrdle . Voici les trois principales representations possibles de 
la cl6 privee GQ2. I) La representation classioue des cles privies GO 
consiste a stocker m nombres priv6s Q. et la cle publique de verification 
(v, n) ; pour les sch^mas GQ2, cette representation est concurrencee par les 
deux suivantes. 2^ La representation optimale en tennes de charges de 
travail consiste a stocker le parametre k, les / facteurs premiers p., mxf 
composantes privees et f-l parametres des restes chinois. 3) La 
representation optimale en termes de taille de cle privee consiste k stocker 
le parametre k, les m nombres de base et les / facteurs premiers puis, a 
commencer chaque utilisation en etablissant ou bien m nombres prives et 
le module n pour se ramener a la premiere representation, ou bien m><f 
composantes priv6es Q.j et f-l parametres des restes chinois pour se 
ramener a la seconde. 

Parce que la securite du mecanisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
modide, les schemas GQ2 ne permettent pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui prouve 
dispose de son propre module GQ2. Toutefois, on peut specifier des 
modules GQ2 k quatre facteurs premiers dont deux sont connus d'une entite 
et les deux autres d'une autre. 

Authentification dynamique — Le mecanisme d'authentification dynami- 
que est destine a prouver a une entit6 appelee controleur T authenticity 
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d'une autre entit6 appel^e d^monstrateur ainsi que Tauthenticite d'un 
6ventuel message associe M, de sorte que le contrdleur s'assure qu'il s'agit 
bien du demonstrateur et eventuellement que lui et le d6monstrateur parlent 
bien du meme message M. Le message associe M est opiiomiel, ce qui 
signifie qu'il peut etre vide. 

Le m6canisme d'authentification dynamique est una sequence de quatre 
actes : un acte d'engagemait, un acte de d6fi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le contrdleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on peut isoler un t6moin, de maniere h. isoler 
les paramdtres et les fonctions les plus sensibles du demonstrateur, c'est-k- 
dire, la production des engagements et des r^ponses. Le t6moti dispose du 
parametre k et de la cle privee GQ2, c'est-^-dire, de la factorisation du 
module n selon I'une des trois representations evoquees ci-dessus : • les/ 
facteurs premiers et les m nombres^de base, • les wx/ composantes privees, 
les /facteurs premiers et f-\ paramfetres des restes chinois, • les m nombres 
priv6s et le modutevw. 

Le temoin peut correspondre k une realisation particuliere, par exemple, 
• une carte k puce reliee a im PC fonnant ensemble le d&nonstrateur, ou 
encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulierement prot6g6s au sein d'une carte a 
puce. Le temoin ainsi isol6 est semblable au temoin defini ci-aprfes au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble d, D) constitue un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrateur dispose-egalement, le cas 
6cheantfd'un^0ne1ionKde .laaohagesiit' d'un .messag-@i»A/. 
Le contrSleur dispose du module n, par exemple, a partir d'un annuaire de 
cies publiques ou encore a partir d'un certificat de cles publique ; le cas 
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6ch6ant, il dispose 6galement de la m6me fonction de hachage et d'un 
message M\ Les paramdtres publics GQ2, k savoir les nombres k, m et a 
g„ peuvent 6tre domes au controleur par le demonstrateur. Le contrdleur est 
apte a reconstituer un engagement R ' h partir de n'importe quel d6fi d et de 
n'importe quelle r6ponse D. Les paramdtres A: et m renseignent le 
controleur. Faute d' indication contraire, les m nombres de base de a g„ 
sont les m premiers nombres premiers. Chaque defi d doit comporter m 
d6fis 61^entaires notes de J, a : un par nombre de base. Chaque defi 
aementaire de </, ^ est xm nombre de 0 i 2*"'-l (les nombres de v/2 k v-1 
ne sont pas utilises). Typiquemait, chaque d^fi est cod6 par m fois k-1 bits 
(et non pas m fois k bits). Par exemple, avec * = 5 et m = 4 nombres de base 
5, 11, 21 et 26, chaque d6fi comporte 16 bits transmis sur quatre quartets. 
Lorsque les (/t-l)xm defis possibles sont 6galement probables, le nombre 
(k-l)xm determine la securite apportee par chaque triplet GQ2 : \m 
imposteur qui, par definition, ne cormait pas la factorisation du module n a 
exactement une chance de succds sur 2**''"^. Lorsque (k-\)xm vaut de 15 ^ 
20, \m triplet sufBt a assurer raisonnablement I'authentification dynamique. 
Pour atteindre n'importe quel niveau de securite, on pent produire des 
triplets en parallele ; on pent egalement en produire en sequence, c'est-^- 
dire, r6p6ter 1' execution du mecanisme. 
1) L'acte d'engagement comprend les op&ations suivantes. 
Lorsque le temoin n'utilise pas les restes chinois, il dispose du parametre k, 
des m nombres prives de a Q„ et du module n ; il tire au hasard et en 
priv6 xm ou plusieurs aleas r(0<r<n); puis, par k elevations successives 
au carre (mod w), il transforme chaque alea r en un engagement R. 

R = r^ (modn) 

Voici \m exemple avec le jeu de cl6s precedent sans les restes chinois. 
r = 5E94B894AC24AF843 13 1F437C1B1797EF562CFA53AB8AD426C1 
AC016F1C89CFDA13120719477C3E2FB4B4566088E10EF9C010E8F09 



C60D981512198126091996 

R = 6BBF9FFA5D509778DOF93AE074D36A07D95FFC38F70C8D7E330 
0EBF234FA0BC20A95 1 52A8FB73DE8 1FAEE5BF4FD3EB7F5EE3E36D 
7068D083EF7C93F6FDDF673A 

Lorsque le temoin utilise les restes chinois, il dispose du parametre k, des/ 
facteurs premiers de a p^, de f-1 parametres des restes chinois et des mxf 
composantes privees Q^; il tire au hasard et en prive une ou pliisieurs 
collections de / al6as : chaque collection comporte un al6a r, par facteur 
premier p, (0 < r, < p) ; puis, par k Elevations successives au carr6 (modp,), 
il transforine chaque al6a r, en une composante d'engagement R,. 

Ri = ry (mod Pt) 

Pour chaque collection de/ composantes d' engagement, le t^oin 6tablit im 
engagement selon la technique des restes chinois. II y a autant d'engage- 
ments que de collections d'aleas. 

R - Restes ;€hinQis(i?„ R^y- R) 
Voici un exemple avec le jeu de cles precedent et avec les restes chinois. 
r, = 5C6D37FOE97083C8D1207194?§E080BBBF9F7392E11F3E244FDFO 

204E84D8CAE 

R^ = 3DDF516EE3945CB86D20D9C49E0DA4D42281D07A76074DD4FE 

C5C7C5E205DF66 
= AC8F85034AC78112071947C457225E908E83A2621B0154ED15DB 

FCB9A4915AC3 

R^ = 01168CEC0F661EAA15157C2C287C6A5B34EE28F8EB4D8D34085 
8079BCAE4ECB016 

R = Restes Chinois(i?„ R^) = 0AE51D90CB4FDC3DC757C56E063C9ED8 
6BE153B71FC65F47C.123C27F082BC3DD15273D4A923804718573F2F0 

5E991487D17DAEOA/feB7DFOD©PFA^3E0Fl§9F95FO 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 

chaque engagement R, ou bien, un code de hachage H obtenu en hachant 



chaque engagement et un message M. 

2) L'acte de defi consiste k tirer au hasard xm ou plusienrs d6fis d 
composes chacim de m defis elementaires d^ ... d^; chaque defi 
elementaire d. est Txm des nombres de 0 a v/2-1. 

d = d^ ^2 

Voici im defi pour les dexix exemples, c'est-a-dire avec A: = 5 et tw = 4. 
= 101 1 = 1 1 = 'B' ; c/^ = 001 1 = 3 ; ^3 = 01 10 = 6 ; rf, = 1001 = 9, 
d=d^ I U J I ^3 I I <= 10110011 01101001 = 83 69 
Le controleur transmet au demonstrateur chaque d€fi d. 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin n'utilise pas les restes chinois, il dispose du parametre 
des m nombres prives de Q^ a et du module n ; il calcule xme ou 
plusieurs reponses D en utilisant chaque alea r de Tacte d'engagement et les 
nombres prives selon les defis elementaires. 

D^rxQf'xQi^x...Q^- (modn) 
Voici la suite de I'exemple sans les restes chinois. 

D = 027E6E8O8425BF2B401FD00B15B642B1A8453BE8070D86COA787 
0E6C1940F7A6996C2D871EBE61 1812532AC5875E0E1 16CC8BA648FD 
8E86BE0B2ABCC3CCBBBE4 

Lorsque le temoin utilise les restes chinois, il dispose du paramdtre des / 
facteurs premiers de a p^, de /-I paramfetres des restes chinois et des mxf 
composantes privees Q^ji il calcule xme ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de Tacte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

D,^nxQ(lxQ^ix...Qi-, (mod/.,) 
Pour chaque collection de composantes de reponse, le temoin etablit xme 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de d6fis. 



D = Restes Caiinois(Z)„ D^, ... 
Void la suite de I'exemple avec les restes chinois. 

D, = r,y<Q,f^Q,f^Q,fxQ,,r (mod/..) = 

C71F86F6FD8F955E2EE434BFA7706E38E5E715375BG2CD2029A4BD 
572A9EDEE6 

OBE022F4A20523F98E9F5DBECOE10887902F3AA48C864A6C354693A 
D0B59D85E 

D = 90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98 
C8577A660B9CFCEAECB93BE1BCC356811BF12DD667E2270134C907 
3B941 8CA5EBF5 1 9 121 8D3FDB3 

Dans les dexix cas, le d6monstrateur* transmet chaque r6ponse D au 
controleur. 

4) L'acte de controle consiste a eontroler que chaqwe triplet {/?, d, D) 
v^rifie \me equation du^type suivant apour unej.val eur non nuUe, 

RxY\Gf' =M (mod n) oubien R^D^ xJ|Gf' (mod n) 
1=1 « '=1 
oubien, a r^tablir chaque engagement : aucun ne doit etre nul. 

tn k ^ 

R=D^' /Y\Gf' (modn) oubien R=D^ xJ^Gf' (mod «) 
/=i '=1 
Eventuellement, le controleur calcule ensuite un code de hachage H' en 
hachant chaque engagement retabU ' et un message M'. L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a regu a 
Tissue de Facte d'engagement, c'est-i-dire, tout ou partie de chaque 
engagement ou bien, le code de hachage H. 

Par exemple, une s6quence d'op^rations el&nentaires transforme la r6ponse 
D en un engagement R'. La sequence comprend^ carr6s<mod n) separ6s 
par k-\ divisions ou multiplications (mod n) par des nombres de base. Pour 
la i ieme division ou multiplication, qui s'effectue entre le i idme carr6 et le 



z+l ieme carre, le i idme bit du d6fi elementaire indique s'il faut utiliser 
g^^ le-r^ieme bit du defi elementaire indique s'il faut utiliser g^, ... 
jusqu'au / ieme bit du defi elementaire qui indique s'il faut utiliser g^. 
Void la fin de I'exemple sans les restes chinois. 

D = 027E6E808425BF2B401FDOOB15B642B1A8453BE8070D86COA787 
0E6C1940F7A6996C2D871EBE611812532AC5875E0E116CC8BA648FD 
8E86BE0B2ABCC3CCBBBE4 
Elever au carr6 modulo n : 

88BA681DD641D37D7A7D9818D0DBEA82174073997C6C32F7FCAB3 
03 80C4C6229B0706D 1 AF6EBD846 1 777 1 C3 1 B4243C2F0376CAF5DCE 
B644F098FAF3 B 1 EB49B39 
Multiplier par 5 fois 26 = 130, soit '82' modulo n : 

6ECABA65 A9 1 C2243 1 C4 13E4EC7C7B39FDE 1 4C9782C94FD6FA3C A 
AD7AFE192B9440C1113CB8DBC45619595D263C1067D3DOA840FDE0 
08B415028AB3520A6AD49D 
Elever au carre modulo n : 

0236D25049A5217B13818B39AFB009E4D7D52B17486EBF844D64CF7 

5C4F652031041328B29EBF0829D54E3BD17DAD218174A01E6E3AA65 

0C6FD62CC274426607 

Multiplier par 21, soit '15' modulo n : 

2E7F40960A8BBF1899A06BBB6970CFC5B47C88E8F115B5DA594504 
A92834BA405559256A705ABAB6E7F6AE82F4F33BF9E91227F0ACFA 
4A052C91ABF389725E93 
Elever au cair6 modulo n : 

B802171179648AD687E672D3A32640E2493BA2E82D5DC87DBA2B2C 
C0325E7A71C50E8AE02E299EF868DD3FB916EBCBCOC5569B53D42 
DAD49C956D8572E 1285B0 

Multiplier par 5 fois 11 fois 2 1 = 1 1 55, soit •483' modulo n : 

33055602763 10DEFEC1337EB5BB5810336FDB28E91B350D485B091 88 



E0C4F1D67E68E9590DB7F9F39C22BDB4533013625011248A8DC417C 

667B419D27CB11F72 

Elever au carre modulo n : 

8871 C494G8 1 ABB 1 AEB8656C3 8B9B AAB 57DB A72 A4BD4EF9029ECB 
FFF540E55 13 8C9F22923963 1 5 1 FD0753 1 45DF70GE22E9D0 1 9990E4 1 D 
B6104005EEB7B1 170559 

Multiplier par 5 fois 1 1 fois 26 = 1430, soit '596' modulo n : 
2CF5F76EEBF128A0701B56F837FF68F81A6A5D175DOAD67A14DAE 
C6FB68C362B1DC0ADD6CFC004FF5EEACDF794563BB09A17045EC 
FFF88F5 136C7FBC825BC50C 
Elever au carre modulo n : 

6BBF9FFA5D509778DOF93AE074D36A07D95FFC38F70C8D7E3300EB 
F234FA0BC20A95 1 52A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D706 
8D083EF7C93F6FDDF673A 

On retrouve bien l' engagement R. L'authentification est r6ussie. 
Voici la fin de I'exemple avec les restes chinois. 

D = 90CE7EA43eB»EA89ABDD0C814FB72ADE74F02FE6F098ABB98 
C8577A660B9CFCEAECB93BE1BCC356811BF12DD667E2270134C907 

3B941 8CA5EBF5 1912 1 8D3FDB3 
Elever au carr6 modulo n : 

770192532E9CED554A8690B88F16D013010C903172B266C1133B136E 

BE3EB5F 1 3B 1 70DD41 F4ABE14736ADD3 A70DFA43 12 1B6FC5560CD 

D4B4845395763C792A68 

Multiplier par 5 fois 26 = 130, soit '82' modulo n : 

6EE9BEF9E52713004971ABB9FBC31145318E2A703C8A2FB3E144E77 
86397CD8D1910E70FA86262DB771AD1565303AD6E4CC6E90AE3646 

B461D3521420E240FD4 
Elever au carre modulo n : 

D9840D9A8E80002C4D0329FF97D7AD163D8FA98F6AF8FE2B2160B2 
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126CBBDFC734E39F2C9A39983A426486BC477F20ED2CA59E664C23 

CAOE04E84F2FOAD65340 

Multiplier par 21, soit '15' modulo n : 

D7DD75 1 6383F78944F2C901 1 6E1BEE0CCDC8D7CEC5D7D1795ED33 
BFE8623DB3D2E5B6C5F62A56A2DF4845A94F32BF3CAC360C7782B 
5941924BB4BE91F86BD85F 
Elever au carr6 modulo n : 

DD34020DD0804C0757F29AOCBBD7B46A 1BAF9492 14F74FDFE02 1 B 
626ADAFBAB5C3F1602095DA39D70270938AE362F2DAE0B91485531 
0C7BCA328A4B2643DCCDF 

Multiplier par 5 fois 1 1 fois 21 = 1 155, soit '483' modulo n : 
038EF55B4C826D189C6A48EFDD9DADBD2B63A7D675A0587C85596 
1 8EA2D83DF552D24EAF6BE983FB4AFB3DE7D4D2545 1 90F1B 1F946 
D327A4E9CA258C73A98F57 
Elever au carre modulo n : 

D 1232F50E30BC6B7365CC27 12E5CAE079E47B971DA03 1 85B33E9 1 8E 
E6E99252DB3573CC87C604B327E5B20C7AB920FDF142A8909DBBA1 
C04A6227FF1 8241C9FE 

Multiplier par 5 fois 1 1 fois 26 = 1430, soit '596' modulo n : 

3CC768F 1 2 AEDFCD4662892B9 1 74 A2 1 D 1 F0DD9 127A54AB63C9840 1 9 

BED9BF88247EF4CCB56D71E0FA30CFB0FF28B7CE45556F744C1FD7 

51BFBCA040DC9CBAB744 

Elever au carre modulo n : 

0AE51D90CB4FDC3DC757C56E063C9ED86BE153B71FC65F47C123C 
27F082BC3DD 1 5273D4A923 8047 1 8573F2F05E99 1487D1 7DAE0AAB7 
DFODOFFA23EOFE59F95F0 

On retrouve bien 1' engagement R. L'authentification est r6ussie. 
Signature num^rique 

Le mecanisme de signature numerique permet a une entite appelee 
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signataire de produire des messages signes et a une entity appel6e 
controleur de verifier des messages sign6s. Le message M est une s6quence 
binaire quelconque: il peut etre vide. Le message M est ^sign^ en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les reponsesv Gorrespondaaites. 
Le contr61eur dispose du module n, par exemple, a partir d'un araiuaire de 
cles publiques ou encore a partir d'un certificat de cles publique ; il dispose 
6galement de la m^me fonction de hachage. Les paramdtres publics GQ2, k 
savoir les nombres k, m&tg^k g„ peuvent etre donnes au contrdleur par le 
d6monstrateur, par exemple, en les mettant dans I'appendice de signature. 
Les nombres it et w renseignent le contrdleur. D'une part, chaque d6fi 
elementaire, de d, a d„, est un nombre de 0 k 2*^-1 (les nombres v/2 a i^l 
ne sont pas utilises). D'autre part, chaque defi doit comporter m d^fis 
61ementaires notes de k </„, autant que de nombres de base. En outre, 
faute d'indication contraire, les m nombres de base, de k sont les m 
premier nombresi)remiers. Avec (A:-l )xw valant de 15 a 20, On peut signer 
avec quatre triplets GQ2 produits en parallele ; avec (A:-l)xm«^valant 60 ou 
plus, on peut signer avec un seul triplet GQ2. Par exemple, avec A:= 9 et 
m = 8, un seul triplet GQ2 suffit ; chaque defi compdrte huit octets et les 
nombres de base sont 2, 3, 5, 7, 1 1, 13, 17 et 19. 

L'op^ration de signature est une sequence de trois actes : un acte 
d'engagement, un acte de d6fi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : vin engagement R 0), un 
d6fi d compost de m defis elementaires notes par d^, d^, ... d^ et une 
reponse D 0). 

Le signataire dispose d'une fonction de hachagCy du paramdtre A et de la cle 
priv6e GQ2, c'est-^-dire, de la factorisation-du module-n selep Tune des 
trois repr^entations 6voquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d'engagement et de reponse, de 
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maniere a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon Tune des trois representations 6voqu6es ci-dessus. Le 
temoin ainsi isol6 est semblable au t6moin d^fini au sein du demonstrateur. 
II pent correspondre a une realisation particuliere, par exemple, • une carte 
a puce reliee i un PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'lm PC, ou encore, • des 
programmes particulierement proteges au sein d'une carte a puce. 

1) L'acte d'engagement comprend les operations suivantes. 

Lorsque le temoin dispose des m nombres prives a et du module w, il 
tire au hasard et en prive un ou plusieurs al6as r (0 < r < n) ; puis, par k 
elevations successives au carr6 (mod n\ il transforme chaque alea r en im 
engagement i?. 

R^r"" (mod/i) 

Lorsque le t6moin dispose des / facteurs premiers de j7, a jcy et des ntxf 
composantes privees Q^^^ il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte im alea r par facteur 
premier p, (0 < < /7.) ; puis, par k elevations successives au carre (mod jo.), 
il transforme chaque alea en ime composante d'engagement R^. 

Ri^ry {mod Pi) 

Pour chaque collection de / composantes d'engagement, le temoin etablit im 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d'aleas. 

R = Restes Chinois(i?„ R^^ ... R) 

2) L'acte de defi consiste a hacher tons les engagements R et le message a 
signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieiu-s defis comprenant chacun m defis elementaires ; 
chaque defi elementaire est im nombre de 0 a v/2— 1 ; par exemple, avec 
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A;= 9 et OT = 8, chaque d^fi comporte huit octets. II y a autant de d6fis,que 
d'engagements. 

d=^d^d^... extraits du r^ultat Hash(:M, R) 
3) L'acte de reponse comporte les operations suivantes. 
Lorsque la t^moin dispose des m nombres prives g, a g„ et du module n, il 
calcule une ou plusieurs reponses D en utilisant chaque al6a r de l'acte 
d' engagement et les nombres priv6s selon les d6fis 61emaitaires. 

X^Qt'xQi^y^...Qir (modn) 
D = r'xX (mod«) 
Loisque le t6moin dispose des / facteurs premiers de p, a et des mx/ 
composantes privees il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'al6as de l'acte 
d' engagement : chaque collection 4e composantes de reponse comporte une 
composante par facteur premier. 

Xi^^}xQi}.x.,.Qirj (mod A-) 
Di .= ri X Xi' (mod 

Pour chaque coUeetion de seomposantes- de r6ponse, le tdmoin 6tablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de d6fis. 

D = Restes Chinois(i)„ D^, ... D) 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-^i-dire, chaque engagement R, chaque 
d6fi d et chaque reponse D, 

. ou bien, chaque engagement R et chaque r6ponse D correspondante, 

- ou bien!,*chaque defi d et chaque»F6ponse D correspondante. 

Le deroulement de l'op6ratioii de verification depend du contenu de 
1' appendice de signature. On distingue les trois cas. 

Au cas oil Tappendice comprend un ou plusieurs triplets, reparation de 
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controle comporte deux processus inddpendants dont la chronologic est 
indifiF^rente. Le contrdleur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropriee du 
type suivant doit etre v6rifi^e) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

'■=1 1=1 
Par exemple, on transforme la r6ponse D par une sequence d'op^rations 
61ementaires : k carres (mod n) s6par6s par k-1 multiplications ou divisions 
(mod n) par des nombres de base. Pour la i ieme multiplication ou division, 
qui s'effectue entre le / i^me carre et le i+1 ieme carre, le i ieme bit du defi 
el^mentaire d^ indique s'il faut utiliser g^, le / ieme bit du defi elementaire 
indique s'il faut utiliser g^, ... jusqu'au i ieme bit du d6fi 61ementaiie d„ qui 
indique s'il faut utiliser g^. On doit ainsi retrouver chaque engagement R 
present dans I'appendice de signature. 

D'autre part, le ou les triplets doivent 6tre h6s au message M. En hachant 
tous les engagements R et le message M, on obtient un code de hachage h 
partir duquel on doit retrouvCT chaque defi d. 

d = d^d^... d^, identiques h ceux extraits du resultat Hash(Af, R) 
Au cas oil Fappendice ne comprend pas de defi, I'operation de controle 
commence par la reconstitution de un ou plusieurs d6fis d' en hachant tous 
les engagements R et le message M. 

d' = d\d\... d'„, extraits du resultat Hash(A/, R) 
Ensuite, le controleur accepte le message sign6 si et seulement si chaque 
triplet est coherent (une relation appropri6e du type suivant est v6rifi6e) et 
recevable (la comparaison se fait sur une valeur non nulle). 

RxYlGf^^D" (mod«) oubien = xJJg/*' (mod «) 



-An cas ou Tappendice ne comprend pas d'engagement, 1' operation de 
contrSle commence par la reconstitution de un ou plusieurs engagements R ' 
selon una des deux foimules suivantes, celle qui est-appropriee^' Aucun 
engagement r6tabU ne doit 6tre nul. 
R^=D^' /f\ of' (mod n) oubien i^'sD^* x JJg/' (mod «) 

Ensuite, le controleur doit hacher tous les engagements i?' et le message M 
de fagon a reconstituer chaque d^fis d. 

d = d^ d^... identiques a ceux extraits du r6sultat Hash(M, R 0 
Le contrSleur accepte le message sign6 si et seulement si chaque d6fi 
reconstitu^ est idraitiqiie au d6fi coirespondantrfigipant en appemdice. 



ANNEXE 1 

Precede, systeme, dispositif destines a prouver I'authenticite d'une 
entite et/ou I'integrite et/ou I'authenticite d*un message aux moyens de 
facteurs premiers particuliers. 

La presente invention conceme le domaine technique des proc6d6s, des 
systemes ainsi que des dispositifs destines k prouver I'authenticite d'une 
entite et/ou I'integrite et/ou I'authenticite d'un message. 
Le brevet EP 0 31 1 470 Bl dont les inventeurs sent Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou "procede GQ". Par la suite on 
d6signera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" de 
nouveaux developpements de la technologie GQ faisant I'objet des 
demandes pendantes deposees le meme jour que la pr6sente demande par 
France T6\6com, TDF et la Societe Mathrizk et ayant pour inventeur Louis 
Guillou et Jean-Jacques Quisquater. Les traits caracteristiques de ces 
demandes pendantes sont rappeles chaque fois que cela est n6cessaire 
dans la description qui suit. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identite k chaque entite appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, 1' autorite de confiance 
donne identit6 et signature au t6moin. Par la suite, le temoin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la r6v61er qu'il connait la signature RSA de son identite. GrSce a la cle 
publique de verification RSA distribu6e par I'autorite de confiance, une 
entite appelee " controleur " verifie sans en prendre connaissance que la 
signature RSA correspond a I'identite proclamee. Les mecanismes utilisant 
le procede GQ se d^roulent " sans transfert de connaissance ". Selon le 
proc6d6 GQ, le ternoin ne connait pas la cle privee RSA avec laquelle 
I'autorite de confiance signe un grand nombre d'identites. 



m 



La technologic GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses normes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : 11 y a cette fois Equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant ,pourJ'entite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en security qu' en performance, la technologie GQ2 evite 
les inconvenients presentds par la technologie RSA. 

Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme taille eleves a des puissances de Tordre de 2^^ + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithm6tiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
procedes tels que le proc6de GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. B est rappele id, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probleme particulierement delicat a resoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 



securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n'entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure oii, en outre, il convient de tenir compte de 
r infrastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 apporte une solution a ce probleme tout en renforfant 
la securite. 

La technologie GQ2 met en oeuvre des facteurs premiers ayant des 
proprietes particulieres. Diff^rentes techniques existent pour produire ces 
facteurs premiers. La pr^sente invention a pour objet un procede 
permettant de produire de manifere syst6matique de tels facteurs premiers. 
EUe conceme aussi 1' application qui pent Stre faite de ceux-ci plus 
particuli^reraent dans la raise en oeuvre de la technologie GQ2. On 
souligne dhs & pr6sent que ces facteurs premiers particuliers et le proc6d€ 
permettant de les obtenir sont susceptibles d'application en dehors du 
champ de la technologie GQ2. 

L' invention s'applique a un procede (procede GQ2) destin6 k prouver a 
une entite controleur, 

- I'authenticite d'une entite et/ou 

- rint6grite d'un message M associ6 a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou d6riv6s de ceux-ci: 

- un module public n constitu6 par le produit de f facteurs premiers pj, 
P2, . . . Pf (f etant superieur ou egal ^2), 

- un exposant public v ; 

- m nombres de base gi, gj, ... g„ entiers, distincts, (m etant superieur 
ou egal a 1). 

Les nombres de base g, sont tels que les deux equations (1) et (2) : 
x^5g,modn et x^s-g,modn 



n'ont pas de solution en x dans I'anneau des entiers modulo n, 
et tel que 1' equation (3 ): 

= gj^ mod n 

a des solutions en x dans I'anneau des entiers modulo n . 
Le precede selon Tinvention pemiet de produire les f facteurs premiers pj , 
P2,» Pf de telle sorte que les equations (1), (2) et (3) soient satisfaites. Le 
precede selon I'invention comprend Tetape de choisir en premier : 

• les m nombres de base gj , gj^, . . . g^, 

• la taille du module n, 

• la taille des f facteurs premiers pj , P2^, . . . Pf. 

Le procede conceme le cas ou Texposant public v est de la forme : 

ou k est un parametre de securite plus grand que 1. On choisit igalement 
en premier le parametre de securite k. Cette valeur particuliere de 
I'exposant V est un des traits essentiels de la technologie GQ2- 
De preference, les m nombres de base g^, g2^, ... ^n* sont choisis au moins 
en partie parmi les premiers nombres- entiers. De preference egalement, le 
parametre de securite k est un petit nombre entier, notarament inferieur a 
100. Avantageusement, la taille du module n est superieure a plusieurs 
centaines de bits. Avantageusement egalement, les f facteurs premiers p^^, 
P2,, . - . Pf ont une taille voisine de la taille du module n divise par le nombre f 
de facteurs. 

Selon une caracteristique importante du procede selon I'invention, les f 
facteurs premiers p^^, pj^, . . . p^ ne sont pas choisis de maniere quelconque. 
Parmi les f facteurs premiers p^^, pj^, ... p^ un certain nombre d'entre eux : e 
seront choisis congms a 1 modulo 4. Ce nombre e de facteurs premiers 
pent etxe nul. Dans le cas ou e est nul le module n sera ci-apres qualifie de 
module basique, dans le cas ou e > 0 le module n sera ci-apres qualifie de 
module mixte. Les f-e autres facteurs premiers sont choisis congms a 3 



modulo 4. Ce nombre f-e de facteurs premiers est au moins egal a 2. 

Choix des f-e facteurs premiers congrus a 3 modulo 4 
Pour produire les f-e facteurs premiers pj,, pj,, . - . Pr-e congrus ^ 3 modulo 4, 
on met en oeuvre les etapes suivantes : 

- on choisit le premier facteur premier Pj congm a 3 modulo 4 puis, 

- on choisit le deuxieme facteur premier Pa tel que P2 soit 
complementaire de p^ par rapport au nombre de base g^. 

Pour choisir le facteur Pi+j , on procede conmie suit en distinguant deux 
cas: 

(1) Cas ou i> m 

Dans le cas ou i> m, on choisit le facteur Pi+j congru a 3 modulo 4. 

(2) Cas ou i< m 

Dans ce cas ou i< m, on calcule le profil (Profili(gi)) de gj par rapport aux i 
premiers facteurs premiers Pi, 

• si le Profili(gi) est plat, on choisit le facteur Pi^i tel que p,+i soit 
complementaire de pj par rapport a gj, 

• sinon, on choisit parmi les i-1 nombres de bases gi, g2, gi-i et 
toutes leurs combinaisons multiplicatives le nombre, ci-apres denomme g, 
tel que Profili(g) = Profili(gi), on choisit ensuite pj+i tel que Profili+iCgj) ^ 
Profili^i(g). 

Les expressions "complementaire", "profil", "profil plat" ont le sens 
d6fini dans la description. 

Pour choisir le dernier facteur premier Pf^ on procede conraie suit, en 
distinguant trois cas : 

(1) Cas ouf-e-l>m 

Dans le cas ou f-e-1 > m, on choisit p^^ congru a 3 modulo 4. 

(2) Cas ouf-e-1 =m 

Dans le cas oii f-e-.l = m, on calcule Prorilf.e.i(gm) par rapport aux f-e-1 
premiers facteurs premiers, de p^ a Pf.e.i, 



• si Profilf„^.i(g^) est plat, on choisit p^.^.^ tel qu'il soit 
complementaire de par rapport a , 

• sinon, on precede comme il est ci-apres stipule. 

On choisit parmi les m-l nonabres de bases de gj a g^.^ et toutes leurs 
combinaisons multiplicatives le nombre, ci-apres denomme g, tel que 
Profili(g) = Profili(gj) puis, on choisit ensuite Pf.^ tel que Profilf.e(g) ^ 
Profil,.,(g„). 

(3) Cas ouf-e-1 <m 
Dans le cas ou f-e-1 < m, on choisit Pf.^ tel que les deux conditions 
suivantes soient satisfaites : 

(3.1) Premiere condition. 

On calcule Pro£iIf.e.i(gf.g.i) par rapport aux f-e-1 premiers facteurs premiers, 
de pj a Pf.e..i^ Deux cas sont alors a considerer. Selon Tun ou Tautre de ces 
deux cas, la premiere condition sera diff erente. 

Si Profilf.^.i(gf.^.i) est plat^- on choisit Pf.e^t^l-qu'il satisfasse^^ la premiere 
condition d'etre complementaire de p^ par rapport a gf^^i (premiere 
condition selon le premier cas) sinon^ on choisitaparmi les nombres de 
bases de a g„.i et toutes leurs combinaisons multiplicatives le nombre, ci- 
apres denomme g, tel que Profili(g) = ProfiIf.g,i(gf.g.i) puis, on choisit 
ensuite p^.^ tel qu'il satisfasse a la condition d'etre tel que Profilf,^ (g) ^ 
Profilf.e (g^), (premiere condition selon le deuxieme cas) 

(3.2) Deuxieme condition 

On selectionne pamii 1' ensemble des demiers nombres de bases de g^.^ a g^ 
ceux dont le profil Profilf.^.i(gi) est plat puis, on choisit p^^ tel qu'il 
satisfasse a la condition d'etre complementaire de p^ par rapport a chacun 
des nombres de bases ainsi selectionnes (deuxieme condition). 

CH^ix des e facteurs premiers congi^us^a 1 modulo 4 
Pour produire les e facteurs premiers congrus a 1 modulo 4, on evalue 
chaque candidat facteur premier p , de p^.^ a p^ , en lui faisant subir les deux 



tests successifs suivants. 

(1) Premier test 

On calcule le symbole de Legendre de chaque nombre de base & , de gi k 
, par rapport au facteur premier p candidat, 

• si le symbole de Legendre est egal a -1, on rejette le candidat p, 

• si le symbole de Legendre est egal a -hi, on poursuit revaluation du 
candidat p en passant au nombre de base suivant puis, lorsque le dernier 
nombre de base a ete pris en compte on passe au deuxieme test, 

(2) Deuxieme test. 

On calcule un nombre entier t tel que p-1 est divisible par 2^ mais pas par 
2^^^ puis, on calcule un entier s tel que s = (p-1+20/2*"*"^ 
On applique la cle < s, p> a chaque valeur publique G, pour obtenir un 
r^sultat r 

r= Gj^modp 

Si r est egal a & ou - & , on poursuit le deuxieme test en passant a la valeur 
publique Gj+i suivante. 

Si r est different de & ou - & , on calcule un facteur u en appliquant 
I'algorithme ci-apres specific pour un indice ii allant de 1 a t-2. 
L'algorithme met en oeuvre deux variables : w initialisee par r et jj = 2'* 
prenant des valeurs allant de 2 a 2^'^ , ainsi qu'un nombre b obtenu par 
r application de la cle < (p-l)/2S p) k un residu non quadratique de CG(p). 
L'algorithme consiste a repeter autant que necessaire, la sequence 
suivante: 

• Etape 1 : on calcule wVOjCmod p). 

• Etape 2 : on eleve le resultat a la puissance 2'""'^ Deux cas sont a 
considerer. 

Premier cas 

Si on obtient +1 , on passe a la valeur publique Gj+i suivante et on poursuit 
le deuxifeme test pour cette valeur publique. 



Deuxieme cas. 

Si on obtient -1, on calcule jj = 2" puis, on reirplace w par w.b" (mod p). 
Ensuite; on poursuit Talgorithme pour la valeur suivante de Findice ii. 
A Tissue de ralgorithme, la valeur figurant dans la variable permet de 
calculer^un nombre entier u par la relation jj = 2^" puis, on calcule 
r expression t-u. Deux cas se presentent : 

• si t-u < k , on rejette le candidat p 

• si t-u > k, on continue revaluation du candidat p en passant la 
valeur publique Gj^i suivante puis, en poursuivant le deuxieme test. 

Le candidat p est accepte comme facteur premier congru a 1 modulo 4 si a 
Tissue du deuxieme test, pour toutes les m valeurs publiques G| , il n'a pas 
et6 irejete. 

Appliaation aux valepFS publiqMiesmet^pxwee^^^^ 
La presente invention conceme egalement un - proefide (procede GQ2) 
faisant application du procede qui vient^dVeMe^^ d^eHfr et^^^^ permet, 
rappelons le, de produire f facteurs prenuers^^spj^,, p^^, ... p^, ay ant des 
proprietes particulieres. Le procede*^ faisant-* application**^ du procede qui 
vient d'etre decrit est destine h prouver a une entite contrSleur, 

- Tauthenticite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

-m couples de valeurs privees Q^, Qj, Q„ et publiques Gj, Gj, ... 
G^ (m 6tant superieur ou egal h 1), 

- le module public n constitue par le produit desdits f facteurs premiers 
Pi? P2> ••• Pf ^tant superieur ou 6gal a 2), 

- Texposant public v . 

Ledit module, ledit .exposant et lesdites valeurs sont lies par des relations 
du type : 



Gj. Qi"" s 1 . mod n ou G| = Qj^'mod n . 
Ledit exposant v est-tel que 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique Gj est le carre du nombre de base a inferieur aux 
f facteurs premiers pj, Pa, ... pf- Le nombre de base a est tel que les deux 
equations : 

x^sgmodn et x^s-.g.modn 
n'ont pas de solution en x dans Tanneau des entiers modulo n et tel que 
r equation : 

x"" = gj^ mod n 

a des solutions en x dans Tanneau des entiers modulo n. 

Ledit procede met en oeuvre selon les etapes suivantes une entite appel^e 

temoin. Ladite entite t^moin dispose des f facteurs premiers Pj et/ou des 

parametres des restes chinois des facteurs premiers et/ou du module public 

n et/ou des m valeurs privees Qj et/ou des fjn composantes Qi^ (Qj, j = Qx 

mod Pj) des valeurs privees Qj et de 1' exposant public v . 

Le temoin calcule des engagements R dans Tanneau des entiers modulo n . 

Chaque engagement est calcule : 

• soit en effectuant des operations du type 

Rs r^modn 
oil r est un alea tel que 0 < r < n, 

• soit en effectuant des operations du type 

Ri = rj''mod Pj 

oil Fj est un alea associe au nombre premier pj tel que 0 < Fj < pj , chaque 
appartenant a une collection d'aleas {r^ , , ... rj, puis en appliquant la 
methode des restes chinois. 

Le temoin regoit un ou plusieurs defis Chaque defi d comportant m 
entiers dj ci-apr^s appeles defis elementaires. Le temoin calcule a partir de 



chaque defi d une reponse D, 

• soil en effectuant des operations du type : ^' 

D s r . Q/^ Q2 ^. ... Q„ *^ mod n 

• soit en effectuant des operations du type : 

Di ^ . Qj,i . ^. . . . Qj^ ^™ mod 
puis, en appliquant la methode des restes chinois. 

Le procede est tel qu*il y a autant de reponses D que de defis d que 
d*engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}, 

De preference, pour mettre en oeuvre, comme il vient d'etre decrit, les 
couples de valeurs priv6es Qi, Qj, ... Q„ et publiques Gj, G2, ... G„ , on 
utilise les facteurs premiers pj, pj, - Pf et/ou les parametres des restes 
chinois, les nombres de bases gij^ga^^,.. gm et/ou*^les ivaleur^ 
-•• G„ pour calculer : 

- soit les' valeurs privees Qi, Q2, ... Q„ en extrayant une fc ieme racine 
carree modulo n de Gj , ou en prenant T inverse d'une k ieme racine carree 
modulo n de Gj, 

- soit les f.m composantes privees Qjj des valeurs privees Q2, ... 
Qm ' telles que Q., j. = Q. (mod pp , 

Plus particulierement, pour calculer les f-m composantes privees j des 
valeurs privees Qj, Q2, ... Qm • 

- on applique la cle ( s, pj > pour calculer z tel que 

z = Gj* (mod Pj) 

- et on utilise les valeurs t et u . 

Les valeurs t et u sont calcul^es comme il a ete indique ci-dessus dans le 
cas oil Pj est congru a 1 modulo 4. Les valeurs t et "^u sont prises 
respectivement egales a 1 (t=l) et 0 (u=0) dans le cas ou pj est congru a 3 
modulo 4. 

Si la valeur u est nul, on considere T ensemble des nombres zz tels que : 



# • 



• • • zz soit egale a z ou tel que 

• • • zz soit egale au produit (mod pj) de z par chacune des 
T'^ racines 2"iemes primitives de Funite, ii allant de 1 ^ min(k,t) . 

Si u est positif, on considere Tensemble des nombres zz tels que zz soit 
5 egale au produit (mod pp de za par chacune des 1^ racines 2^ iemes de 

I'unite, za designant la valeur de la variable w k Tissue de Talgorithme ci- 
dessus decrit. 

On en deduit au moins une valeur de la composante Qj^j. Elle est egale a zz 
lorsque T equation = Qi"" mod n est utilisee ou bien elle est egale a 
10 rinverse de zz modulo pj de zz lorsque T equation G| . Qi"" s 1 . mod n est 

utilisee. 



Description 

Rappelons Tobjectif de la technologie GQ: rauthentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le 
demontrent las attaques dites « multiplicatives » contre di verses normes de 
signature numerique mettant en oeuvre la technologie RSA. 
Dans le cadre de la technologie GQ2, la presente partie de T invention porte 
plus precis6ment-sur la production des jeux de cles :GQ2 destines a assurer 
rauthentification dynamique et la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport-a la technologie RSA ; d' autre 
part, eviter les problemes inherents a la technologie RSA, La cle privee 
GQ2 est la factorisation du -module n. Toute attaque amuiveau des triplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois Equivalence, 
Avec la technologie GQ2, la charge de travail est reduite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g^. Puis, on choisit une cle publique de verification <v, n) 
de la maniere suivante. L'exposant public de verification v est 2* ou k est 
un petit nombre entier plus grand que 1 > 2). Le module public n est le 
produit d'au moins.deux facteurs premiers plus grands que les nombres de 
base, disons/ facteurs premiers (f>2) notes par pp dep^ "^Pf Les /facteurs 
premiers sont choisis de fagon a ce que le module pubhc n ait les propriet6s 



suivantes par rapport a chacun des m nombres de base de a g„. 

- D'une part, les equations (1) et (2) n'ont pas de solution en jc-d^ns 
I'anneau des entiers modulo n, c'est-k-dire que g.- et -g,- sont deux 
residus non quadratiques (mod n). 

X? s (mod n) (1) 
x^ = -g. (modn) (2) 

- D'autre part, I'equation (3) a des solutions en x dans I'anneau des 
entiers modulo n. 

= ql (modn) (3) 
Par la suite, ces proprietds sont encore appel6es les principes GQ2. 
La ci6 publique de verification <v, n) 6tant fix6e selon les nombres de base 
de gi ^ g„ avec m ^ 1, chaque nombre de base g,- determine un couple de 
valeurs GQ2 comprenant une valeur publique G,- et une valeur priv6e J^-: 
soit m couples notes de G, Gi a G„ Q„. La valeur publique G.- est le carr6 du 
nombre de base g.- : soit G.- = g^ La valeur privee Q, est une des solutions a 
l'6quation (3) ou bien I'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en / facteurs premiers, I'anneau 
des entiers modulo n se decompose en / corps de Galois, de CG(p^) a 
CG(py). Voici les projections des Equations (1), (2) et (3) dans CG(py). 
=g. (mod pj) (i.a) 
x? = -gi (modpj) (2.a) 
x^^sg? (modPj) (3.a) 
Chaque valeur privee Q.- peut se representer de mani^re unique par / 
composantes privees, une par facteur premier : = Qi (mod pp. Chaque 
composante privee est une solution a I'equation (3.a) ou bien 1' inverse 
(mod pj) d'une telle solution. Apres que toutes les solutions possibles k 
chaque equation (3.a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Qi ^ 
partirde/ composantes de ^ Ql/' Qi= testes Chinois (Q.^, j^2. ••• Qi^ 
de mani^re k obtenir toutes les solutions possibles h l'6quation (3). 
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Void la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux aeib tels que 0 < a < by tt deux composantes de 0 a 
a-1 et de 0 a b-l ; il s'agit de determiner X = Restes Chinois {X^, X^, 
c'est-a-dire, le nombre unique X de 0 a tel que X^^Ximoda) et 

X^ = X(modfc). Void le parametre des restes chinois : a = {Z? (mod a)}~* 
(mod a). Voici Toperation des restes chinois : £ = X^ (mod a) ; 5= X^-e ; si S 
est ndgatif, remplacer 5 par 5f a ; 7= a . 5 (mod a) ; X = 7. i + X^. 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit /?! au plus grand les parametres des restes chinois peuvent etre les 
suivants (il y en a f-l, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a= (mod Pi)y^ (mod p^). Le 
second parametre des restes chinois est )3= {px>P2 (mod ^3)}"^ (mod p^). Le / 
ieme parametre des restes chinois est A= {/7j./72- A_i (i^od p,)}"^ (mod p.). 
Et ainsi de suite. Ensuite, en f-l op6rations des restes chinois, on etablit un 
premier resultat (mod j?2 fois pi) avec le premier^parametEe> puis, un second 
resultat (modp^.p2 fois P3) avec le second parametre, et ainsi de suite, 
jusqu'a un resultat (mod p^. ... pj_^ foisp^, c'est-a-dire, (mod n). 
L'objet de I'invention est une methode pour produire au hasard n'importe 
quel jeu de cles GQ2 parmi tous les jeux possibles, a savoir : 

- produire au hasard n'importe quel module parmi tous les modules GQ2 
possibles, c'est-a-dire, les modules assurant que, pour chacun des m 
nombres de base g^y les equations (1) et (2) n'ont pas de solution en x 
dans Tanneau des entiers modulo n alors que T equation (3) en a, 

- calculer toutes les solutions possibles a chacune des equations (3 .a). La 
technique des restes chinois peraiet ensuite d'obtenir une valeur 
privee h partir de chaque jeu de / composantes de a de 
maniere a obtenir n'importe quelle solution en x a 1' equation (3) parmi 
toutes les solutions possibles, 

Q, = Restes Chinois {Q,,, Q^^^ . . . O^y) 
Pour apprehender le probleme, puis, comprendre la solution que nous 



donnons au probleme, c'est-^-dire, 1' invention, nous analysons tout 
d'abord I'applicabilite des principes de la technologie GQ2, Commen9ons 
par rappeler la notion de rang dans un corps de Galois CG(p) afm d'6tudier 
les fonctions « elever au carre dans CG(p) » et « prendre une racine carree 
d'un residu quadratique dans CG(p) ». Puis, analysons 1' existence et le 
nombre de solutions en x dans CG(p) aux equations (l.a), (2.a) et (3.a). 
Rang des elements dans CG(p) 

Soit un nombre premier impair p et un nombre entier positif a plus petit que 

p. D6finissons la suite {X} . 

{x }s{3^=a; puispouri^l, Xy.i = axj^ (modp) } 

Calculous le terme pour I'indice i+p et utilisons le th6oreme de Fermat. 
Xj^p = aFx^= a:5^s Xy.^ (modp) 

Par consequent, la periode de la suite {X} est p-\ ou un diviseur de p-\. 
Cette periode depend de la valeur de a. Par definition, cette p6riode est 
appelee « le rang de a (mod p) ». C'est I'indice d' apparition de I'unite dans 
la suite [X) . 

Par exemple, lorsque (p-l)/2 est un nombre premier impair pMe corps de 
Galois CG{p) comporte un seul 616ment de rang 1 : c'est 1, un seul element 
de rang 2 : c'est -1, p'-l elements de rang p\p'-l 616ments de rang 2.p\ 
c'est-a-dire, de rangp-1. 

Les elements de CG(p) ayant pour rang p-\ sont appel6s les 616ments 
« primitifs » ou encore, « gen6rateurs » de CG(p). La denomination est due 
au fait que leurs puissances successives dans CG(p), c'est-a-dire, les termes 
de la suite {X} pour les indices allant de 1 a p-1, forment une permutation 
de tous les elements hon nuls de CG(p). 

Soit un element primitif y de CG(p). Evaluons le rang de l'61ement y 
(modp) en fonction de i et de p-\. Lorsque i est premier avec p-1, c'est 
p-\. Lorsque / divise p-h c'est (p-l)/i. Dans tous les cas, c'est 
(p-l)/pgcd(/7-l, O- 



La fonction d'Euler est no tee par (p. Par definition, n etant un nombre 
entier positif, (p(n) est le nombre de nombres entiers positifs, plus petits que 
n et premiers avec n. Dans le corps CG(p), il y a done i^ipr-l) elements 
primitifs. 

A litre d'illustration, voici la base de la technologie RSA. Le module public 
n est le produit de / facteurs premiers, de pj a pj avec / > 2, tel que pour 
chaque facteur premier pj^ Texposant public v est premier avec p^-L La cle 
(v, Pj) respecte le rang des elements de CG{p^ : elle les permute. La 
permutation inverse s'obtient par une cle {sj, pj) telle que pj-l divise v.Sj-l. 
Carres et racines carrees dans CG(p) 

Les elements x et p-x ont le meme carre dans CG(p). La cle (2, ^p) ne 
pertnute pas les elements de CG(p) parce que p-1 est pair. Pour chaque 
nombre^prernier^v defeiss©as-.5un nombre en»tier / det4a mani^Eetsui^ante : 
p-1 est divisible par 2', mais ;pas par 2''**\ c'est-k-dire que p est congru k 
2'+l (mod 2'*^). Par^exemplej /= 1 lorsqwe p est congru-a 3 (mod 4) ; r = 2 
lorsque p est congm a 5 (mod 8) ; / = 3 lorsque p est congru a 9 (mod 16) ; 
t = 4 lorsque p est congru a 17 (mod 32) ; et ainsi de suite. Chaque nombre 
premier impair figure dans une et une seule categorie : p figure dans la t 
ieme categorie. En pratique, si Ton considere un assez grand nombre de 
nombres premiers successifs, environ un sur deux figure dans la premiere 
categorie, un sur quatre dans la deuxieme, un sur huit dans la troisieme, un 
sur seize dans la quatrieme, et ainsi de suite ; en resum6, un sur 2' en 
moyenne figure dans la / ihme categorie. 

Considerons le comportement de la fonction « elever au CBire dans CG(p) » 
selon la parite du rang de T argument. 

- H y a un seul element fixe : c'est 1. Le carre de tout autre element de 
rang impair est un autre element ayant le meme rang . Par consequent, la 
cle (2, p) permute T ensemble des (p-l)/2^ elements de rang impair. Le 
nombre de cycles de permutation depend de la factorisation de 
(p-l)/2'. Par exemple, lorsque (p-l)/2^ est un nombre premier il y a 



un grand cycle de permutation comportant p'-l elements. 
- Le carr6 de tout element de rang pai est un autre 616ment dont le rang 
p.st divis6 par deux. Par consequent, les elements de rang pair se 
repartissent sur (p-l)/2' branches ; chaque element non nul de rang 
impair porte une branche de longueur t comportant 2'-l Elements, k 
savoir : un element de rang divisible par deux mais pas par quatre, puis, 
si / ^ 2, deux 61ements de rang divisible par quatre mais pas par huit, 
puis, si r ^ 3, quatre 61ements de rang divisible par huit mais pas par 
seize, puis, si f ^ 4, huit elements de rang divisible par seize mais pas par 
32, et ainsi de suite. Les 2'"' extremit6s de chaque branche sent des 
residus non quadratiques ; leur rang est divisible par 2'. 
Les figures lA & ID illustrent la fonction « 61ever au carre dans CG(p) » par 
un graphe orientd oil chacun des p-l elements non nuls du corps trouve sa 
place: les residus non quadratiques sont en blanc et les r6sidus 
quadratiques en noir ; parmi les residus quadratiques, les 61ements de rang 
impair sont encercles. 
Ces figures presentent respectivement : 

figure 1 A : cas oil p est congru a 3 (mod 4) ; 
figure IB : cas ou /? est congru a 5 (mod 8) ; 
figure 1 C : cas ou p est congru k 9 (mod 1 6) ; 
figure ID : cas oil ;? est congru a 17 (mod 32). 

Voyons comment calculer une solution en x a I'equation = a (mod p) 
sachant que a est un residu quadratique de CG(p), c'est-a-dire, comment 
« prendre une racine carree dans CG(p) ». H y a bien sur plusieurs famous 
d'obtenir le meme resultat : le lecteur pourra avantageusement consulter les 
pages 31 a 36 du livre de Henri Cohen, a Course in Computational 
Algebraic Number Theory, publi6 en 1993 par Springer a BerUn comme le 
volume 138 de la s6rie Graduate Texts in Mathematics (GTM 138). 
Calculous un nombre entier s = (p-1+20/2'*^ pour etablir une cl6 {s, p). 



Soit : ((p+l)/4, p) lorsque p est congru a 3 (mod 4), ((p+3)/8, p) lorsque p 
est congru a 5 (mod 8), <(p+7)/16, p) lorsque p est congru a 9 (mod 16), 
<(p+15)/32, p) lorsque p est congmi a 17 (mod 32), et ainsi de suite. 

- La cle {s,p) donne la racine carree de rang impair de n'importe quel 
element de rang impair. En effet, dans CG(p), r^la vaut a eleve a la 
puissance (2.(p~l+20/2 ^"^^)-l = (p-l)/2^ Par consequent, lorsque a est 
sur un cycle, la cle {s, p) transforme a en une solution que nous 
nommons w. L' autre solution est p—w. 

- D'une maniere generale, la cle (5, p) transforme tout residu quadratique 
a en une premiere approximation de solution que nous nommons r. 
Voici deux points cles, puis, I'ebauche d'une methode pour ameliorer 
pas a pas I'approximatioii jusqu'a une racine earree-de a. 

- D'une*!spaii4?.t?puisqjuie#i'a #sfe3^^un^residu?f;,quadiaibigaae, la cle (2'"\ p) 
transfonme^certainement«i^/a en 1 . 

- D'autre* pare?:*. supposons^^ que* ^^^^^^n connaissens un residu non 
quadratique de CG(p) que mus nommons y ; la cle {{p-l)/2\ p) 
transforme y en un element que nous nommons i? : c'est une racine 
2^"^ ieme de-1 ; en effet, y^-^^^ = -1 (mod p). Par consequent, dans 
CG(p), le groupe multiplicatif des 2^ racines 2 iemes de T unite est 
isomorphe au groupe multiplicatif des puissances de b pour les 
exposants de 1 a 2'. 

- Pour se rapprocher d'une racine carree de a, elevons r^la a la 
puissance 2^"^ (mod p) : le resultat est +1 ou -1. La nouvelle 
approximation reste r si le resultat est +1 ou bien devient b.r (mod 
p) si le resultat est -1. Par consequent, la cl6 <2'^^, p) transforme 
certainement la nouvelle approximation en L On peut continuer a 
se rapprocher : au prochain pas, on ajustera s'il le faut en 
multipliant par (mod p) ; et ainsi de suite. 

L'algorithme suivant etablit des approximations successives pour aboutir a 
une racine carree de a a partir des nombres entiers r et b definis ci-dessus ; 



il utilise deux variables entieres : w initialisee par r pour representer les 
approximations successives etjj prenant des valeurs paimi les puissances 
de 2,de2k 2'-^. 

Pour i allant de 1 a t-2, repeter la sequence suivante : 

5 - Calculer w^/a (mod p), puis, elever le resultat a la puissance 2'-*"^ (mod p) : 

on doit obtenir +1 ou -1. Lorsque Von obtient -1, calculer 77 = 2', puis, 
remplacer w par w.f^ (mod p). Lorsque I'on obtient +1, ne rien faire. 
A Tissue du calcul, w et p-w sont les deux racines carrees de a dans CG(p). 
En outre, nous apprenons que le rang de a dans CG(p) est divisible par 2'/jj 

10 mais pas par 2'-'Vjr/. La pertinence de cette remarque apparaitra par la suite. 

Analyse des principes de la technologie GQ2 dans CG(p) 
Soit deux nombres entiers getk plus grands que 1 et un nombre premier p 
plus grand que g. Analysons 1' existence et le nombre de solutions en x 
dans CG(p) aux Equations (l.a), (2.a) et (3.a). 

Dans le corps de Galois CG(p), distinguons differents cas selon la valeur de 
t, c'est-a-dire, selon la puissance de deux qui divise p-l. Rappelons que 
p-l est divisible par 2', mais pas par 2'^\ c'est-a-dire que p est congm a 
2'+l (mod 2'*^. L' analyse precedente nous donne une idee assez precise 
du probleme pose ainsi qu'une ebauche de solution. 

Lorsque t = hp est congm k 3 (mod 4). Les symboles de Legendre de g et 
-g par rapport a p sont differents ; tout r6sidu quadratique de CG(p) a 
deux racines carries dans CG(p) : Tune est un residu quadratique et 1' autre 
un residu non quadratique. D'une part, une des deux equations (l.a) ou 
(2.a) a deux solutions en x dans CG(p) et I'autre n'en a pas. D'autre part, 
r equation (3. a) a deux solutions en x dans CG{p) quelle que soit la valeur 
de k. 

Lorsque t-2,p est congru a 5 (mod 8). Deux cas se presentent selon le 
symbole de Legendre de g par rapport a p. Lorsque le symbole vaut -1, g 
et -g sont deux residus non quadratiques de CG(p) : les trois equations 
(l.a), (2.a) et (3.a) n'ont pas de solution en x dans CG(p). Lorsque le 
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symbole vaut +1, g et -g sont deux residus quadratiques de CG(p), chaque 
equation (l.a) et (2.a) a deux solutions en x dans CG(p) ; de plus, le rang de 
dans CG(p) est impair, ce qui implique que quelle que soit la valeur de k, 
r Equation (3.a) a quatre solutions en x dans CG(p) dont une seule de rang 
impair. 

La figure 2 illustre les solutions a I'equation (3.a) avec k = 6 etp congru a 5 

(mod 8), soit f = 2. Remarquons que, parce que le symbole de Legendre de 

2 par rapport a p congru & 5 (mod 8) vaut -1, 2^^^"* (mod p) est alors une 

racine carree de -1. On a done : 

p = 5 (mod 8) ; par consequent : (2\p)= - 1 

p s 2 " (mod p);donc s -1 (mod p) 

Lorsqiie / = 3, p est congru a 9 (mod 16). Considerons le symbole de 
Legendte de g par^rappprt^ p. Lorsqu^ le symbole -yaut -1, g et -g sont 
deux residus non quadratiques de GG(p) : les trois equations (l.a), (2.a) et 
(3 .a) n'ont pas de solution en x dans GG(p). Lorsqwe le symbole vaut +1, g 
et -g sont deux residus quadratiques de CG(p) ; chaque Equation (l.a) et 
(2.a) a deux solutions en jc dans CG(p) ; 1' existence de jsolutions^^«n j: k 
I'equation (3.a) depend du rang de dans CG(p) : ce rang est impair ou 
divisible par deux, mais pas par quatre. Lorsque le rang de g^ dans CG(p) 
est divisible par deux, mais pas par quatre, I'equation (3.a) a quatre 
solutions en x dans CG(p) pour k=2; elle n'en a pas pour k>3. Lorsque 
le rang de g^ dans CG(p) est impair, I'equation (3.a) a quatre solutions en x 
dans CG(p) pour ifc = 2 et huit pour k>3; dans les deux cas, une seule est 
de rang impair. 

Lorsque / = 4, /? est congru h 17 (mod 32). Consid6rons le symbole de 
Legendre de g par rapport a p. Lorsque le symbole vaut -1, g et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (l.a), (2.a) et 
(3.a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et -g sont deux residus quadratiques de CG(p) ; chaque equation (l.a) et 
(2.a) a deux solutions en x dans CG(p) ; 1' existence de solutions en a 



requation (3.a) depend du rang de dans CG(p) : ce rang est impair ou 
(KVisible par deux ou quatre, mais pas par huit. Lorsque le rang de dans 
CG(p) est divisible par quatre, mais pas par huit, 1' equation (3.a) a quatre 
solutions en x dans CG(p) pour A: = 2 ; elle n'en a pas pour k>3. Lorsque 
le rang de ^ dans CG(p) est divisible par deux, mais pas par quatre, 
1' equation (3.a) a quatre solutions en x dans CG(p) pour /: = 2 ou huit pour 
fc = 3 ; elle n'en a pas pour A: > 4. Lorsque le rang de dans CG(p) est 
impair, I'equation (3.a) a quatre solutions en x dans CGip) pour ^ = 2, huit 
pour A: = 3 et seize pour A; ^ 4 ; dans les trois cas, une seule est de rang 
impair. 

Et ainsi de suite, de sorte que le cas ou p est congru a 1 (mod 4) peut se 
resiimer corame suit. 

Lorsque /7 est congru a 1 (mod 4), consid6rons le symbole de Legendre 
de g par rapport a p, Lorsque le symbole vaut -1, g et -g sont deux residus 
non quadratiques de CG(p) : les trois equations (l.a), (2.a) et (3.a) n'ont 
pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g et -g sont 
deux residus quadratiques de CG{p) \ chaque equation (l.a) et (2.a) a deux 
solutions en x dans CGip). Defmissons le nombre entier u : le rang de g" 
dans CG(p) est divisible par 2«, mais pas par 2"*' ; la valeur de u figure 
parmi les t-\ valeurs possibles, de 0 a t-2. L' existence et le nombre de 
solutions en x dans CGip) ^ l'6quation (3.a) depend des valeurs de k, t et «. 
Lorsque u est positif et k est superieur k t-u, l'6quation (3.a) n'a pas de 
solution en x dans CGip). Lorsque u est nul et k sup6iieur k f, I'equation 
(3.a) a 2' solutions en x dans CGip). Lorsque k inferieur ou 6gal ^ 
I'equation (3.a) a 2* solutions &n x dans CGip). 

Applicabilite des principes GQ2 dans les aimeaux d'entiers modulo 
Pour que I'equation (1), respectivement (2), n'ait pas de solution en x dans 
I'anneau des entiers modulo n, il faut et il suffit que, pour an nfioins un des 
fartPnr^; premiers p, de p^ a pj, I'equation (La), respectivement -(2.a), n'ait 
pas de solution en x dans CGip). 



Pour que F equation (3) ait des solutions en x dans Tanneau des entiers 
modulo n, il fauf'et il suffit que, pour chacun des facteurs premiers p, de a 
Pp Tequation (3.a) ait des solutions en ;c dans CG(p). 

L'equation (3) interdit tout facteur premier p congru a 1 (mod 4) des que 
pour Tun des nombres de base g, de a : ou bien, le symbole de 
Legendre de g par rapport a p est egal a — 1 ; ou bien, le symbole de 
Legendre de g par rapport a p est egal a +1 avec la condition : u positif et 
superieur a t-k. Pour qu'un facteur premier p congru a 1 (mod 4) soit 
possible, il doit remplir Tune des deux conditions suivantes pour chacun 
des nombres de base g, de a g^, selon les deux nombres entiers t et u 
definis ci-dessus. Ou bien, le rang de G = g^ est impair dans CG(p), c'est-a- 
dire, « = 0, quelle que soit la valeur d& k. Oii bien, le rang de G = est pair 
dans GG(/?), c'est^a-dire,.M > 0, et il satisfait Ja condition : m + k<t. 
Un produit de facteurs premiers congrus a 1 (mod 4) ne peut assurer 
Tensemble des principes de la technologie GQ2. Chaque module GQ2 doit 
avoir au moins deux facteurs premiers congrus a 3 (mod 4) tels que, pour 
chaque nombre de base g, le symbole de Legendre de g par rapport a Tun 
differe du symbole de Legendre de g par rapport a 1' autre. Lorsque tous les 
facteurs premiers sont congrus a 3 (mod 4), on dira que le module GQ2 est 
basique. Lorsqu'en plus d'au moins deux facteurs premiers congrus a 3 
(mod 4), le module inclut un ou plusieurs facteurs premiers congrus a 1 
(mod 4), on dira que le module GQ2 est mixte. 
Construction systematique de modules GQ2 

Au depart, il faut fixer les contraintes globales a imposer au module n : une 
taille en bits (par exemple, 512 ou 1024 bits) ainsi qu'un nombre de bits 
successifs a 1 en poids forts (au moins un bien sur, typiquement 16 ou 32 
bits), un nombre /de facteurs premiers et un nombre e (pouvant etre nul) 
de facteurs premiei^ devant etre congrus a 1 (mod 4) ; les autres facteurs 
premiers, soit f-e facteurs, au moins deux, doivent etre congrus a 3 (mod 4). 
Le module n sera le produit de / facteurs premiers de tailles voisines. 



10 



15 



20 



25 



30 



Lorsque e = 0, on obtient un module GQ2 basique ; lorsque e>0, on 
obtient ' un module GQ2-nuxte. Un module basique est le produit de 
facteurs premiers tous congrus a 3 (mod 4). Un inodule 00?- tnixte apparait 
dnnc comme 1ft produit d'nn module 002 basique nar un Qu plugieurs 
aiitres facteur^ premiers co npni^: k 1 (mod 4\ On produit d'abord des 
facteurs premiers congrus k 3 (mod 4). Ensuite, si e > 0, on produit des 
facteurs premiers congrus ^ 1 (mod 4). 

Pnnr I'efficacite de la ronstructio n dp. modules GOZ il vaut bien mieux 
sp.lectionner chaque candidat avant d ^ chercher a savoir s'il est premier. 
Not6s par g, g2 . les nombres de base figurent typiquement pamii les 
premiers nombres premiers : 2. 3, 5, 7, ... Faute d'indication contraire, les m 
nombres de base sont les m premiers nombres premiers : gi = 2, gj = 3, 
g3 = 5, g4 = 7» Toutefois, notons les remarques suivantes : il faut 6viter 2 
si I'on escompte un facteur congru a 5 (mod 8) ; il faut 6viter 3 si I'on doit 
utiliser la cle publique <3 , n) comme cle publique de verification RS A. 
Choix def-€ facteurs premiers congrus h. 3 (mod 4) 
A partir du deuxieme facteur, le programme demande et utilise un nombre 
de base par facteur. Pour le choix du dernier facteur congru a 3 (mod 4), le 
programme demande s'il y a d'autres nombres de base, c'est-a-dire, si m est 
6gal ou superieur a/-e, puis, si tel est le cas, demande et prend en compte 
les demiers nombres de base, de g^^ h g„. Pour formaliser le choix des 
facteurs premiers congrus a 3 (mod 4), nous avons introduit une notion de 
profil ; le profil caracterise un nombre entier g par rapport h. un ensemble 
de facteurs premiers plus grands que g et rongrns a 3 (mod 4) . 

- Lorsqu'un nombre entier g a le meme symbole de Legendre par rapport 
a deux facteurs premiers, on dit que les facteurs premiers sont 
cqnivalents par rapport a g. Sinon, ils sont complementaires par 
rapport k g. 

- Not6 par Profil/g), le profil d'un nombre entier g par rapport a /facteurs 
premiers p, Pi-.-Pf est une s6quence de/bits, un bit par facteur premier. 



Le premier bit vaut 1 ; chaque bit suivant vaut 1 ou 0 selon que le 
facteur suivant est equivalent ou conipiementaire de par rapport a 

- Lorsque tous les bits d'un profil sont egaux a 1, on dit que le profil est 
plat . Dans un tel cas, tous les symboles de Legendre de g sont egaux a 
+1, ou bien, a -1. Lorsque le profil de g est non plat,, les equations (1) et 
(2) n'ont pas de solution en x dans I'anneau des entiers modulo n. 

- Par definition, le profil de g par rapport a un seul nombre premier congru 
a 3 (mod 4) est toujours plat. Cette extension permet de generaliser 
Talgorithme de choix des facteurs premiers congrus a 3 (mod 4). 

Lorsque les profils de deux nombres de base g^ et g2 sont differents, ce qui 
implique au moins trois facteurs premiers congrus a 3 (mod 4), la 
corinaissance des deux valeurs privees (2i Q2 induit la connaissance de 
deux decompositions differentes du module n. Lorsque les nombres de 
base sont des petits nombres premiers, le progranraie assure que les profils 
des 2^'*^~^-l combinaisons multiplicatives des premiers- nombres de 

base sont tous differents : ils prennent toutes les valeurs possibles. La 
notion de profil ne s'etend pas aux facteurs premiers congrus a 1 (mod 41 
Premier facteur premier congru a 3 (mod 4) : Chaque candidat doit 
etre congm a 3 (mod 4), sans autre contrainte particuliere. 
Deuxieme facteur premier congru a 3 (mod 4) avec prise en compte 
du premier nombre de base : Chaque candidat doit etre complementaire 
de p^ par rapport a g^. 

Troisieme facteur premier p^ congru a 3 (mod 4) avec prise en compte 
du deuxieme nombre de base g2 ' Selon le profil de g2 par rapport aux deux 
premiers facteurs premiers p^ et /?2» deux cas se presentent. Lorsque 
Profil2(g2) ^st plat, chaque candidat doit etre complementaire de p^ par 
rapport a Sinon, on a Profil2Cgi) = ^rofiX^ig^ ; chaque candidat doit alors 
assurer que Profil3(gi) i^VroTiX'^ig^. 

Choix du i ieme facteur premier p^^^ congru a 3 (mod 4) avec prise en 
compte du nombre de base g^: Selon le profil de g^ par rapport aux i 



10 



premiers facteurs premiers p„ ... Pt, deux cas se presentent. Lorsque 
Profil,(gf) est plat, cfiaque candidal doit 6tre compHmentaire de p^ par 
rapport k g,-. Sinon, paimi les i-l nombres de base gj, gj, ... g/_i et toutes 
leurs combinaisonsmultiplicatives,g,.g2. .•• .gi ft- ••• soit en tout 2-^-1 
nombres entiers, il existe un nombre entier g et un seul tel que Profil,.(g,) = 
Profil,(g) ; chaque candidat doit alors assurer que Profil,4.i(g/) =^ Profil,+i(g). 
Dernier facteur premier Pf_, congru a 3 (mod 4) avec prise en compte 
du nombre de base gy_^_i et des autres nombres de base de a On 
prend en compte les contraintes dues au nombre de base g^_^_i, tout comme 
ci-dessus. En outre, lorsque m est egal ou superieur l.f-e, chaque candidat 
doit assurer un profil non plat aux demiers nombres de base, de g^.^ ^ g„, 
par rapport aux f-e facteurs premiers. Chaque candidat doit 6tre 
complementaire de p-^ par rapport a tous les g,. pour lesquels Profil;.^i(gi) est 
plat. 

En resume, les facteurs premiers congrus a 3 (mod 4) sont choisis les 
uns en fonction des autres. 

Pour i allant de 0 pour choisir le i+1 ieme facteur premier congru a 

3 (mod 4), le candidat p^ doit passer avec succes I'examen suivant : 

Si i > m ou si i = 0, alors le candidat Pt^^ n'a pas d' autre contrainte ; il 

20 est done accepte. 

Si 0 < I < m, alors le candidat /7,+i doit prendre en compte le i ifeme 
nombre de base g... On calcule le profil Profil..(g,) du nombre de base g.- 
par rapport aux i premiers facteurs premiers, de p, a p.- Selon le r6sultat, 
un et un seul des deux cas suivants se presente : 

- Si le profil est plat, alors le candidat Pi^^ doit etre complementaire de 
Pi par rapport a g, ; sinon, il faut le rejeter. 

- Sinon, paimi les i-\ nombres de base et toutes leurs combinaisons 
multiplicatives, il y a un et un seul nombre que nous nommons g tel 
que Profil.(g) = Profili(gi) ; alors le candidat p^+i doit 8tre tel que 

30 Profili^i(g) ^ ProfiUi(gi) ; sinon, il faut le rejeter. 
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Si /-fl — f-e et i < c'est-a-dire, pour choisir le dernier facteur premier 
congru a 3 (mod 4) lorsqu'll reste des nombres de base, de gp^ g^y qui 
n'ont pas encore ete pris en compte, le candidal /?y.^ doit les-prendre en 
compte : parmi ces demiers nombres de base, on selectionne ceux dont 
le profil Profily^,_i(g,.) est plat ; le candidal /t^^ doit elre complemenlaire 
de par rapport a chacun des nombres de base ainsi seleclionnes ; 
sinon, il faul le rejeter. 

Le candidal est accepte lorsqu'il a passe avec succes les tests appropries. 

Choix de e facteurs premiers congrus a 1 (mod 4) 

Pour etre acceptable, chaque candidal p congru a 1 (mod 4) doit remplir les 
conditions suivanles par rapport a chaque nombre de base de g^ a g^. 

- Evaluons le symbole de Legendre de chaque nombre de base g^ par 
rap;gtorl a /?. Si le syrnboJe vaul ^l, rejetpns.le eandidat^p ppjar passer a 
un autre candidal. Si le symbole vaul +1, poursuivons revaluation du 
candidal. Nolonsique*rSi le nombre entier 2 est utilise^eomme-nombre de 
base, alors lous les candidats congrus a 5 (mod 8) doivent >:elre ecartes : 
le nombre de base*^2 est incompatiblie avec- un facteur congru a 5 
(mod 8). 

- Calculons un nombre entier s = (p- 1+20/2'"^^ pour etablir une cle {s,py 
Appliquons la cle (s*, p) a chaque valeur publique pour obtenir un 
resultat r. Deux cas se presentent. 

- Si r vaul ou -g,-, alors ti = 0. Dans ce cas el dans ce cas 
seulemenl, est sur un cycle. Remarquons un cas trivial : G^ est 
sur un cycle des lors que p est congru a 5 (mod 8) el que le 
symbole de Legendre de g^ par rapport a p vaul +1. Rappelons que 

= 4 est impossible dans ce cas. 

- Si r ne vaul ni g^ ni alors « > 0 ; nolons que la cle {(p-l)/2\ p) 
transforme tout residu non quadratique y en un element b qui est 
une racine 2^ ieme primitive de Tunite. L'algorilhme suivant calcule 
u a partir dcretb en ulilisant deux variables enlieres : w inilialisee 
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par r etjj prenant des valeurs de 2 a 2' 
Pour I allant de 1 a t-2, repeter la sequence suivante 
- Calculer W^/G,- (mod pj), puis, clever le resultat k la puissance 2'" 
(mod Pj) : on doit obtenir+1 ou -1. Lorsque I'on obtient-1, calculer 77 = 2', 
puis, remplacer w par w.b" (mod Pj). Lorsque I'on obtient +1, ne rien faire. 
A Tissue du calcul, la variable w a pour valeur g, ou -g,. De plus, nous 
savons que le rang de dans CG(pj) est divisible par 2'/jj mais pas par 
2'+Vj(/, c'est-a-dire que jj determine la valeur de u par = 2' Lorsque v 
est plus grand que jj, c'est-a-dire, k > t-u, rejeter le candidat pour passer a 
un autre. Lorsque v est plus petit ou 6gal k jj, c'est-a-dire, k < t-u, 
poursuivre revaluation du candidat. 

Lorsque les/facteurs premiers ont 6te produits, le module public n est le 
produit des/facteurs premiers p„ P2, - Pr L'entier non signe n peut se 
representer par une sequence binaire ; cette sequence respecte les 
contraintes imposees au debut du programme pour la taille en bits et pour 
le nombre de bits successifs a 1 en poids forts. Le choix des facteurs 
premiers assure les proprietes suivantes du module n par rapport a chacun 
des m nombres de base g„ g^, ... D'une part, les equations (1) et (2) 
n'ont pas de solution en x dans I'anneau des entiers modulo n. D' autre 
part, r equation (3) a des solutions en x dans I'anneau des entiers modulo 
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En resume, les facteurs premiers congrus a 1 (mod 4) sent choisis 
independamment les uns des autres. Mors que les facteurs congrus k 3 
(mod 4) prennent en compte progressivement les nombres de base, chaque 
facteur premier congru a 1 (mod 4) doit prendre en compte I'ensemble des 
contraintes imposees par chacun des nombres de base. Chaque facteur 
premier congra a 1 (mod 4), soit p, de p^^ a p^ doit avoir passe avec succes 
I'examen suivant en deux etapes. 

1) L'etape (1) s*execute successivement pour chacun des m nombres 
de base de a g^. 



On calcule le symbole de Legendre du nombre de base courant g par 
rapport au candidat-js?. Un et un seul des deux cas suivants se presente : Si 
le symbole vaut -1, on rejette le candidal. Sinon (le symbole vaut +1), on 
poursuit Texamen en passant au nombre de base g suivant a I'etape (1). 
Lorsque le candidal est acceptable pour T ensemble des m nombres de base, 
on passe a Tetape (2). 

2) L'etape (2) s'execute successivement pour chacune des m valeurs 
publiques de a G^- 

On calcule un entier t tel que p-l est divisible par 2' mais pas par 2^'^\ puis, 
un entier s = (p-l+20/2''^\ de fa9on a etablir une cle {s,p). On applique la 
cle (s, p) a la valeur publique courante g^ pour obtenir un resultat r, 
soit : r^G^ (m©dp) , Selon le resultat, un et un/ seul des deux cas 
suivants se ;prpente : 

a) Si r est egal a g ou a r-g, alors w = 0 ; on poursuit Texamen du 
candidat en passant la valeur publique G §iiisvante4 l'6tape (2). 

b) Sinon, on calcule un nombre M positif, prenant une des vdeurs de 1 ^ 
r-2, en appliquant I'algorithme^ suivant^ qui met -^en^ oeuvre deux 
variables : jj prenant des valeurs allant de 2 ^ 2'"^ et w initialisee par r, 
ainsi qu'un nombre entier b obtenu en appliquant une cle {(p-l)/2\ p) 
a un residu non quadratique de CG(p). 

Pour un indice ii allant de 1 a /-2, on repete Toperation suivante : 
On calcule w^/G (mod pX puis, on applique une cle <2'"^^^\ p) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que le 
candidat n'est pas premier). Si Ton obtieiit -1, alors on calcule jj 
= 2", puis, c = b^ (mod p\ puis, on remplace w par w.c (mod p) , 
puis, on passe a I'indice if suivant* Si Ton obtient +l-i on passe a 
r indice ii suivant 
A Tissue de Talgorithme, la valeur figurant dans la variable jj^ definit u 
par la relation jj = 2'^ ; la valeur figurant dans la variable w est une 
racine carree de G, c'est-a-dire, g ou —g (sinon, on a une preuve que le 
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candidal n'est pas premier). Deux cas se pr6sentent : 
n Si t-u < K alors on rejette le candidal p piarce que la branche oil 

figure G n'est pas assez longue. 
n Sinon (t-u > k), on poursuit revaluation du candidal en passanl k 
la valeur publique G suivanle a I'elape (2). 
Lorsque le candidal est acceptable pour I'ensemble des m valeurs 
publiques, il est accepte comme facteur premier congru a 1 (mod 4). 
Calcul des valeurs associees 

Pour oblenir les composanles priv6es, calculons toutes les solutions k 
I'equation (3.a) dans les deux cas les plus simples el les plus courants avanl 
d'aborder le cas general. 

Pour chaque facteur premier pj congru a 3 (mod 4), la cl6 <(p,+l)/4, p) 
donne la racine carr6e quadratique de n'imporle quel residu quadralique. 
On en deduil une mani^re de calculer une solution k I'equalion (3.a) : 

Sj = ((py+1) / 4)* (mod (pj-iy2) ; puis, Qi.; = (mod/?,) 
ou bien plutot, I'inverse (mod p) d'une telle solution. 

s. = (p.-l)/2-((p..+l) / 4)* (mod ipj-\)ll) ; puis, Q-^ = Gf (mod pj) 
Dans CG(p/), il y a alors deux el seulement deux racines carries de 1' unite : 
+1 el -1 ; il y a done deux solutions en jc a I'equalion (3.a) : les deux 
nombres el Pf-Q^ onl le meme carr6 G,. (mod pj). 

Pour chaque facteur premier p^ congru a 5 (mod 8), la c\€ {{pj+3)/S, p) 
donne la racine carr6e de rang impair de n'imporle quel 616menl de rang 
impair. On en deduil une solution k I'equalion (3.a) : 

Sj = (.(pj+3) 1 8)* (mod (p'-DM) ; puis, = Gl> (mod p,) 
ou bien plutot, I'inverse (mod pj) d'une telle solution. 

Sj = (p,^l)/4-((p,.+3) / 8)* (mod (p,^l)/4) ; puis, Q,j = Gfj (mod pj) 
Dans CG(py), il y a alors qualre et seulement quatre racines quatriemes de 
l'unil6 ; il y a done, quatre solutions en j: a 1' equation (3.a). Remarquons 
que 2<P^-*^''' (modpy) est une racine cairee de -1 parce que le symbole de 
Legendie de 2 par rapport k p congru k 5 (mod 8) vaul -1. Si esl une 
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solution, alors Pj-Q^ est une autre solution, ainsi que le produit (mod pp de 
Q^j par une racine carree de -1 . 

Pour un facteur premier pj congru a 2^+1 (mod 2'*^), la cle <(/7y-l+20/2'"'\ 
pP donne la racine carree de rang impair de n'importe quel element de rang 
impair. On peut done calculer une solution a T^quation (3.a). 

- Calculons d'abord un nombre entier Sj = {{ppl+iyi'^'^f (mod <Pj-l)/20 
pour etablir une cle {sp Pj), 

- Lorsque la cle ((;?y-l+20/2''^\ Pj) transforme en ou en - g,, le rang de 
Gi est impair dans CG(py) (u = 0). Alors, la cle {spPj) transforme G^ en un 
nombre z ' c'est la solution de rang impair a I'equation (3. a). Selon les 
valeurs de / et de il y a encore min(2*-l, 2-1) autres solutions sur une 
ou plusieurs branches. La branche de porte une autre-solution : c'est 
Pj-Z' Lorsque / ^ 2, la branche de^^ porte deux autres solutions : c'est le 
produit de z par chacune des deux racines carrees de -1, c'est-a-dire, 
chacune des deuxraeines quatdemes^prinriiti^ves^d Tunite. Of,' si y est un 
residu non quadratique de CG(pp, alors, y^-^'^^'^ (mod pp est- une racine 
carree de -L DVune maniere^generale, pour rprenaM de 1 
a min(A:, f), la branche de la puissance 2' ieme de z porte 2'"^ solutions : ce 
sont les produits (mod pp de z par chacune des 2'"^ racines 2^ iemes 
primitives de 1' unite. Or, si y est un residu non quadratique de CG(pp, 
alors, y a la puissance {pfA.)IT est une racine 2' ieme primitive de F unite 
que nous nommons c. Les 2*"^ racines 2' iemes primitives de 1' unite sont 
les puissances impaires de c: c, (mod pp, (mod pp, c a la 
puissance 2-1 (mod pp. 

- Lorsque la cle <(py-l+20/2''^\ p) transforme G,- en un nombre entier r qui 
n'est ni ni ^g^-, Je rang de Q est pair dans CG(pp {u > 0). Alors, a 
condition que G, soit convenablement place sur une branche assez 
longue, c'est-a-dire, r> ^ + w, il y a 2* solutions sur la branche oil figure 
G,.. Pour calculer une racine 2* ieme, il suffit de reiterer k fois de rang 
Talgorithme de calcul de racine carree donne ci-dessus, de fagon a 



calculer les racines carrees des r6sultats successifs jusqu'^ une solution 
z. Ce calcul peut bien sur etre optimise pour approcher directement une 
racine 2* ieme et ajuster ensuite une seule fois I'approximation d'une 
racine 2* ieme pour atteindre une solution Pour obtenir toutes les 
autres solutions, remarquons tout d'abord que si y est un residu non 
quadratique de CG(py), alors, a la puissance (p-l)/2* est une racine 2* 
ieme primitive de T unite que nous nommons d. Les 2* racines 2* iemes 
de Tunite sont les puissances successives d: d,d^ (mod pp, cP (mod 
pj), ...dk la puissance 2^-1 (mod py), ^ a la puissance 2^ (mod pj) qui 
vaut 1. Les 2* solutions sur la branche ou figure sont les produits 
(mod pP de z par chacune de ces racines. 
En resume, pour calculer une composante pour le facteur premier p et 
le nombre de base g, connaissant k, t et a, on precede comme suit : 

1) On calcule un nombre entier : s = {{p-Myi'^^Y (mod (p-l)/20 pour 
etablir une cle <5, p). Puis, on applique la cle <5, p) ^ G pour obtenir 
z^G^ (mod p). Selon la valeur de u, on passe a I'etape (2) ou (3). 

2) Si w = 0, z est la solution de rang impair a Tequation (3.a). D y a encore 
min(2*-l, 2'-l) autres solutions de rang pair sur une ou plusieurs 
branches, tres exactement sur min(A:, t) autres branches. Pour i allant de 
1 a min(Jk, r), la branche de la puissance 2' ieme de z porte 2'"^ solutions : 
ce sont les produits (mod p) de z par chacune des 2^^ racines 2* iemes 
primitives de Tunite. La solution generique a I'equation (3.a) est 
representee par zz. On passe a Tetape (4). 

3) Si w > 0, toutes les solutions ^ T equation (3. a) sont de rang pair. H y en 
a 2* et elles figurent toutes sur la branche ou figure G ; en effet : t-u > 
L Pour calculer une solution, Talgorithme suivant met en ceuvre deux 
variables :jj prenant des valeurs allant de 2 a 2'"^ et w initialisee par z, 
ainsi qu'un nombre entier b obtenu en appliquant une cle <(p-l)/2', p) 
k un r6sidu non quadratique de CG(p). 

On repete k fois de rang la sequence suivante : 



Pour un indice ii allant de 1 a r-2, on repete T operation suivante : 
On calcule w^/G (mod p), puis, on applique une cle (2'""'\/?) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que p n'est 
pas premier). Si Ton obtient— 1, alors on calcule jj = 2", puis, c = M 
(mod pX puis, on remplace w par w.c (mod p) , puis, on passe a 
rindice ii suivant. Si Ton obtient +1, on passe a Tindice ii suivant. 
A Tissue de Talgorithme, la variable w a pour valeur za. Les 2* 
solutions sur la branche ou figure G sont les produits (mod p) de za par 
chacune des 2* racines 2* iemes de T unite. La solution generique a 
Tequation (3. a) est representee par zz. On passe a Tetape (4). 
4) Connaissant % on en deduit une valeur de composante : c'est 
rinverse de zz modulo p lorsque T equation G.Q^ = 1 (mod n) est 
utilisd^^et zz Iprsqug r Equation G = Q\(m0d n) est utilisee^*, 
Remarque. II y a diverses methodes pour obtenir les composantes privees 
etles valeuFS privees. Connaissant une collection de / composantes, c'est- 
a-dire, les /composante pour un nombre de base donne, la technique des 
restes chinois permet de calculer la valeur privee correspondante. On voit 
ainsi que, pour une valeur publique G et un module n donnes, il pent y 
avoir plusieurs valeurs privees Q possibles. H y en a quatre lorsque n est le 
produit de deux facteurs premiers congrus a 3 (mod 4) ; il y en a huit avec 
trois facteurs prentiiers congrus a 3 (mod 4) ; il y en a seize avec deux 
facteurs premiers congrus a 3 (mod 4) et un congru a 5 (mod 8). Un usage 
judicieux de ces multiples valeurs peut compliquer les attaques par analyse 
de la consommation electrique d'une carte ^ puce utilisant GQ2. 
Ainsi, au fur et a mesure que t augmente, le programme se complique pour 
des cas de plus en plus rares. En effet, les nombres premiers se repartissent 
en moy enne comme suit : r = 1 pour un sur deux, r = 2 pour un sur quatre, 
r = 3 pour un sur huit, et ainsi de suite. De plus, les contraintes dues aux m 
nombres de base rendent les candidatures de moins en moins acceptables. 
Quoi qu'il en soit, les modules mixtes font definitivement partie de la 



technologic GQ2 ; 1e type du module G02 n'affecte en rien les protocoles 
d'authentification dvnamique et de signatur e num6rique. 
La figure 3 illustre = gf^ sur un cycle avec un facteur premier p congru a 
9 (mod 1 6), c'est-a-dire, f = 3, « = 0, ainsi que /: ^ 3. On peut noter que : 

b = y ' (mod p) 
fc" = 1 (mod p) 

fc^ s -1 (mod p) 

La figure 4 illustre G,- = sur une branche avec un facteur premier p congru 
a 65 (mod 128), c'est-a-dire, t = 6, ainsi que A; = 4 et u = 2. 
Void un premier jeu de cles GQ2 avec k-6, soit v = 64, m = 3, soit trois 
nombres de base : g, = 3, = 5 et §3 = 7, et / = 3, soit un module a trois 
facteurs premiers : deux congrus h 3 (mod 4) et un a 5 (mod 8). Notons que 
g = 2 est incompatible avec un facteur premier congru k 5 (mod 8). 
= 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

(2 I pi) = -1 ; (3 I pi) = +1 ; (5 I p,) = -1 ; (7 | pO = +1 

p^ = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

(2 I pi) = -1 ; (3 I pO = -1 ; (5 I pO = +1 ; (7 1 a) = -1 

P3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

(2 I pO = -1 ; (3 \pO = +1 ; (5 I pO = +1 ; (7 I p,) = +1 

n=p,.p2-Pi = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

(2,1 = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

(22.1 = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 

Q^, = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 

(2i2 = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 

Qza = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 

^3,2 = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 

j2i.3 = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 

623 = 0AE8551E116A3AC089566DFDB3AE003CF174FC4E4877 



(23.3 = 01682D490041913A4EA5B80D16B685E4A6DD88070501 

Qi = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 

C69E2252 1 B 5 1 OB 64454FB7 A 1 9 AEC8D06985558E764C699 IB 05FC2A 

C74D9743435AB4D7CF0FF6557 

Qz = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE67353A5BC3 1 6C093 

^3 = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 

AD9DC50249C343 12915E55917A1ED4D83 AA3D607E3EB5C8B 197 
697238537FE7A0195C5E8373EB74D 

Voici d'autres valeurs possibles pour les composantes li6es au facteur lequel est 
congm h 5 (mod 8). 

Voici une racine carree de -1 dans CCCp^) : c = 2"^^*^* (mod p^) = 
0C3000933A854E4CB3092I3F12CAD59FA7AD775AAC37 
Q'lj =c-Qi,3 (mod 773) = 

050616671372B87DEC9AEEAC68A3948E9562F714D76C 
i2'2.3 = c.(22j(niod/?3) = 

06F308B529C9CE88D037D01002E7C838439DACC9F8AA 
i2'3j = c. Q3j(mod/73) = 

01 5BE9F4B92F1 950A69766069F788E45439497463D58 
Ce qui donne : 

Q\ = 676DF1BA369FF306F4A1001602BCE5A008DB82882E87C148DO 
D820A71 1 121961C9376CB45C355945C5F2A9E5AFAAD7861886284A 
9B319F9E466521 1252D74580 

Q\ = CAEC4F41752A228CF9B23B16B3921E47C059B9E0C68634C2C 
64D6003 156F30EF1 B C02ADA2558 1 C8FDE76AA14AB5CC60A2DE1C 
565560B27E8AA0E6F4BCA7FE966 

Q\ = 2ACDF5161FE53B68CC7C18B6AFE495815B46599F44C51A6A1 

A4E858B470E8E5C7D2200EF135239AF0B7230388A6A5BDD8EE15B 

0D094FC2BFA890BFDA669D9735 



Void un second jeu de cles GQ2, avec k=9, soit v = 512, m = 2, soit deux nombtes 
de base r-jf = 2 et = 3, et/= 3, soit un module a trois facteurs preniiers congrus a 3 
(mod 4). 

= 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
(2 1 = -1 ; (3 I Pi) = -1 ; et on trouve bien, (6 1 p,) = +1 . 
P2 = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
(2 1 = +1 ; (3 I P2) = -1 ; et on trouve bien, (6 1 = -1 . 

= 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 
(2 I P3) = -1 ; (3 I P3) = +1 ; et on trouve bien, (6 | Pj) = -1 . 
n=Pi-P2'P3 = FFFF5401ECD9E537F167A80C0A91 1 1986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF007 16DC7539F7CBBCF969E73A0C49 
761B276A8E6B6977A21D51669D039F1D7 
(2,4 = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
G24 = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
= 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
fij^ = 045ECB881387582E7C556887784D2671CA118E22FCF2 
Qi3 = B0C2B 1F808D24F6376E3A534EB555EF54E6AEF5982 

(223 = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 

(2, = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 

35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDDA092D0CF108D0AB708405DA46 

G2 = 230D0B9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B OB 266 1 E49DF3 C9B 42FEF 1 F37 A7909B 1 C2DD54 1 1 3 ACF87 C6 
Fl 1F19874DE7DC5D1DF2A9252D 

Dans la pr6sente demande, on a d^crit un proc6d6 pour produire des jeux de cl6s 
GQ2, a savoir, des modules n et des couples de valeurs publique G et privee Q dans 
le cas ot I'exposant v est egal a 2*. Ces jeux de cl6s sont utilises pour mettre en 
oeuvre un procede destine k prouver I'authenticite d'une entit6 et/ou rint€grit6 et/ou 
rauthenticit6 d'un message ainsi que cela a 6t6 deciit. 
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ANNEXE 2 

Procede, systeme, dispositif destines a prouver I'authenticite d'une 
entite et/ou I'integrite et/ou I'authenticite d'un«^messags« 
La presente invention concerne les precedes^ Jes -systemes ainsi que les 
dispositifs destines a prouver Tauthenticite d'une^ventit6 et/ou Tintegrite 
et/ou rauthenticite d'un message. 

Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel precede. On y fera ci-apres reference en le 
designant par les terraes : 'T^revet GQ" ou "procede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ,»rune entit6 appelee " autordte de confianeei^" attribue 
une identite a chaque entite appelee " temoin" et en-calcule la signature 
RSA; durant un processus de^personnalisati0n,- rautorite^^ 
donne identite et signature au 4emoin. Par 4a suite, le temoin-proclame : 
''Void man identite ; j'en connais la signature RSA.*' Le temoin prouve 
sans la reveler-qu^il connait la signature RSA de son identitev Grace a la cle 
publique de verification RSA distriteuee par rautorite^de*,(gon6ian€e, une 
entite appelee "controleur" verifie sans en prendre connaissance que la 
signature RSA correspond a T identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent "sans transfert de connaissance". Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
I'autorite de confiance signe un grand nombre d'identites. 
Le procede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille eleves a des puissances de I'ordre de 2^^ + 1. Or les 
infrastructures mie^roeleetromiqiue notamment^ dans le domaine 

des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
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travail liee aux multiples operations arithmetiques impliqu6es par des 
proc6des tels que le precede GQ, entraine des temps de calcul qui dans 
certains cas s'averent p6nalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant a 
accroitre la security des cartes de paiement, les autorites bancaires posent 
un probleme particuliferement delicat a resoudre. En effet, il faut traiter deux 
questions apparemment contradictoires : augmenter la securite en utilisant 
des cl6s de plus en plus longues et distinctes pour chaque carte tout en 
6vitant que la charge de travail n'entrame des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
oil, en outre, il convient de tenir compte de 1' infrastructure en place et des 
composants microprocesseurs existants. 

La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du module 
n, cette d6pendance n'est pas une Equivalence, loin s'en faut, comme le 
d^montrent les attaques dites "multiplicatives" contre les diverses normes 
de signature numdrique mettant en oeuvre la technologie RSA. 
L'objectif de la technologie GQ2 est double : d'une part, am^liorer les 
performances par rapport k la technologie RSA ; d'autre part, 6viter les 
problfemes inh6rents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente h. la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene h la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour I'entite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace k un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 6vite 
les inconvenients pr6sent6s par la technologie RSA. 

Precede 

Methode des restes chinois appliquee k la famille GQ 



Plus particulierement, Tinvention concerne un precede destine a prouver a 
une entite controleur, 

- rauttienticite d'une entite et/om ^ 

- rintegrite d'un message M associe k cette entity. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, Q„i et publiques Gi, G2, ... 
(m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> ••• Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type : 

Ledit proeedetmefe^^ens'oeuvre sel©nstles etap§3sci-apres definies une entite 
appeleevtemoin disposant des f facteurs premiers pjet/outdes parametres des 
restes chinois des-'factem^s premiei^et/ou&^d et/ou des m 

valeurs pri^vees Qj et/ou des f.m<eomposantes Q|. j ( = Qilnod pj) des 
valeurs privees Qj et de T exposant public v . 

Le temoin calcule des engagements R dans Tanneau des entiers modulo n. 
Chaque engagement est calcule en effectuant des operations du type 

Ri s Flamed Pi 

ou Fi est un alea associe au nombre premier Pi tel que 0 < f, < Pi , chaque Fj 
appartenant a une collection d'aleas {fi , Fj , ... Ff} , puis en appliquant la 
methode des restes chinois, 

Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 
calculer chacun desr engagtments Rf *pour chacun des- pj est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le temoin regoit Un ou plusieurs defis d. Chaque defi d comportant m 
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entiers d| ci-apres appel6s d6fis 616mentaires. Le t6moin calcule a partir de 
chaque defi d une reponse D, en effectuant des operations du type : 



Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 
calculer chacune des r6ponses Di pour chacun des pi est reduit par rapport a 
ce qu'il serait si les operations etaient effectu6es modulo n. 
Le proc6d6 est tel qu'il y a autant de reponses D que de d^fis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note {R, d, D}. 



Dans une premiere variante de realisation le precede selon I'invention est 
destine a prouver I'authenticite d'une entite appelee demonstrateur a une 
entit6 appelee controleur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur ex6cutent les Stapes suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus sp6cifie ci-dessus. Le demonstrateur transmet au contrSleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defl d 

Le controleur, apres avoir regu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et transmet 
les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des r6ponses D h partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de controle 

Le demonsti-ateur transmet chaque r6ponse D au contrSleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 




Qi„,'*"modpi 



Cas de la preuve de Fauthenticite d'lme entite 



engagement R 

Dans le cas oix le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposantdes m yaleurs publiques Gi, G2, 
G„, calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant ^ une relation du type : 

R' ^G^^'. G2 ... G„ . mod n 
ou a une relation du type, 

R' = DVGi . G2 ^\ ... G„^™ .mod n . 
Le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis. 
Deuxieme cas : le demonstrateur a transmis I 'integral! te de chaque 
engagement^R 

Dans le cas. ou le demonstrateur a transmis Tint^gralite de chaque 
engageraaent«^R>^le conl3^§^e1a^^^disposant desim^yale^^^^ G2, ... 

Gm, verifie que ehaque-engagement R satisfait^a une relation du type : 

R = Gi . G2^^. ... G^t^^^'^mod n 
ou a une relation du type, 

R =©n/ Gi . G2 ... G^^'^Tmod^ : 
Cas de la preuve de Tintegrite d'un message 
dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le procede selon T invention est destine a prouver a une entite 
appelee controleur Tintegritd d'un message M associe a une entite appelee 
demonstrateur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur ex6cutent les etapes suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus spe^siiEe ei-dessiasi 

• etape 2 : acte de defi d 

Le demonstrateur applique une fonction de hachage h ayant comme 
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arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir regu un jeton T, produit des defis d en 
nombre egal au nombre d' engagements R et transmet les defis d a u 
demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de controle 

Le demonstrateur transmet chaque reponse D au contrSleur Le controleur, 
disposant des m valeurs publiques Gj, Gj, ... G„, calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant h 
une relation du type : 

R' = Gi G2 ... G„ ^™ . mod n 
ou a une relation du type : 

R' = Gi . G2 ^. ... G^ ^ . mod n. 
Puis, le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T\ Puis, le controleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation susceptible d'etre prise en 
combinaison avec Tune et/ou I'autre des autres variantes de realisation, le 
procede selon Tinvention est destine a produire la signature numerique d'un 
message M par une entite appelee entite signataire. Ladite entite signataire 
comprend le temoin. 

Ladite entite signataire execute une operation de signature en vue d'obtenir 
un message signe cbmprenant : 



- le message M, 

- les defis d et/ou les engagements R, 

- les reponses*D. 

Ladite entite signataire ex6cute roperation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d' engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire Sxtrait de ce train binaire des defis d en nombre egal- au nombre 
d' engagements R. 

• etape 3 : acte^deweponse*© "^ 

Le temoin calcule des reponses D a partir des - defis d en appliquant le 
processus specifie ei-dessus. 

Operation de controle 
Pour rauthenticite du message M, une entite, appeiee eontroleur, controle 
le message signe. Ladite entite eontroleur disposant du message signe 
execute une operation de controle en proc6dant comme ci-apres decrit. 
« cas ou le eontroleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le eontroleur dispose des engagements R, des defis d, des 
reponses D, le eontroleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = Gi^^G2^--. Gn.^^'.D^modn 
ou a des relations du type : 

R = DVGi**^G2^. ... G„^. modn 
Puis, le eontroleur v6rifie que le message M, les d6fis d et les engagements 



R satisfont h, la fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, des 
engagements R' satisfaisant a des relations du type : 

R' s Gi G2 G„ ^ . mod n 
ou k des relations du type : 

R' = DV Gi . G2 ^. G„ ^ • mod n 
Puis, le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas oii le controleur dispose des engagements R et des reponses D, 
le controleur applique la fonction de hachage et reconstruit d' 

d' = h(M,R) 

Puis, le controleur v6rifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R s Gi ^'^ . G2 G„ . mod n 
ou k des relations du type : 

R = DV Gi . G2 * ^ ... G^ • mod n. 
Cas ou on choisit la valeur privee Q en premier et oil on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le procede selon T invention est tel que les 
composantes Qi, 1 , Qi, 2 > ••• Qi, f des valeurs privees Qj, sont des nombres 
tir^s au hasard a raison d'une composante QijCQi,] = Qimod pj) pour 
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chacun desdits facteurs premiers pj. Lesdites valeurs privees Qi peuvent 
etre calculees a partir desdites composantes Qi, i , Qi, 2 ••• Qi, f par la 
mediode des testes chinois. Lesdites valeurs publiques Gi, sent calculees en 
effectuant des operations du type 

= Qi,j' mod pj 

puis, en appliquant la methode des testes chinois pour etablir Gi tel que 

Gi. Qi"" = 1 . mod n ou Gi = Qj^'mod n ; 
Ainsi, le nombre d'operations arithmetiques modulo Pi a effectuer pour 
calculer chacun des Gjj pour chacun des pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. ^ 
Avantageusement dans ce cas, le proc d selotelL qfUDorenti* 
1 exposant piiblic de v rification v est un nombre premier, 
la s curit est quivalente la cormaissa]©s.p de la valeur 
Cas o on choisi't la valeui* Tpiiblic^e G en*.'priein.ier et o on 
valeur priv e Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

V =^^2 

o k est un param tre de s curit plus grand que 1 . 
Ladite valeur publs^Uoe (g^rrd un nombre d^itian^ rieur 
auxf facteurs premiers g^f . Le nombre degiboste tel que les 
deux qua t ions : ^ 

x^ = gimodn et x^s-g.modn 
n'ont pas de solution en x dans I'anneau des entiers modulo n et tel que 
r Equation : 

^ gi^ mod n 

a des solutions en x dans Tanneau des entiers modulo n. 

Systeme 

La presente invention conceme egalement un systeme destine a prouver a 
un serveur controleiir, 



- rauthenticit6 d'une entite et/ou 

- rintegrite d'un message M a'ssocie a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q29 Qm publiques Gi, G2, ... 
G„ (m etant superieur ou egal a 1), 

- un module public n constitu6 par le produit de f facteurs premiers 
Pi) P2> • Pf (f ^ta^t superieur ou 6gal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs 6tant lies par des relations 
du type : 

Gi. Qi'' = 1 . mod n ou Gi = Qi'^mod n . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
k microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteurs premiers Pi et/ou des parametres des restes chinois 
des facteurs premiers et/ou du module public n et/ou des m valeurs privees 
Qi et/ou des f.m composantes Qjj (Qij - Qimod pj) des valeurs privees Qi 
et de r exposant public v. Le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apr&s design^s les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
I'anneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

Ri^ri'^modpi 

ou Ti est un alea associe au nombre premier Pi tel que 0 < < pi , chaque rj 
appartenant a une collection d'aleas {r^ , , ... Vf} produits par les moyens 
de production d'aleas, puis en appliquant la m6thode des restes chinois. 



Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 
calcu^ chacun des engagements Rj pour' chacun des pi est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte^ aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

D| = Fi . Qi,i . Q,;s ^. ... Qi,^ mod 
puis, en appliquant la methode des-restes ehinois. 

Ainsi, le nombre d' operations arithmetiques modulo pi a effectuer pour 
calculer ehaeune des**rep@nses^Di poui^ chacun des ^pf estMreduit par«*j?apport a 
ce qu'il serait si les operations etaient effectuees modulo n. 
Ledit dispositif temoin comporte ^aussi des moyens de transmission pour 
transmettre un ou plusdeurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d' engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de I'authenticite d'une entite 
Dans une premiere variemte de realisation le systeme selon 1' invention est 
destine a prouver Tauthenticite d'une entite appelee demonstrateur a une 
entite appelee controleur. 

Ledit systeme est tel qu'il comporte un dispositif demonstrateur associe a 
r entite demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d'interconnexion. II pent se presenter 
notanraient sous la forme de nfiicrocircuits logiques- dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur- 
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Ledit systeme comporte aussi un dispositif controleur associe a I'entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit systeme permet d'ex^cuter les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif t6moin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres designe 
les moyens de transmission du dispositif demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

• etape 2 : acte de defi d 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir regu tout ou partie de chaque engagement R, des d6fis 
d en nombre egal au nombre d' engagements R. Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion. Les moyens de calcul des reponses D du dispositif temoin 




calculent les reponses D a partir des defis d en appliquant le processus 
sp6cifie ci-dessus. ^ 
• etape4 l acte de contrdle 
Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur. Le dispositif controlem: comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas^©u les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R^^les moyens^de-calaul du dispositif 
contrSleiflf^udispQsant des*m ^aleuFS^pu!bldques#Giiii.G^ Gfe., calculent a 
partir dei chaque^^defi d et de chaque reponse © tin. engagement reconstruit 
R' satisfaisant a une relation du type : 

R^= Gi . G2 ... G^ ^™ • DVmQdiin ^ 
ou a une relation du type, 

R' = DV Gi G2 ... G^ . mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R regu. 
cas ou le demonstrateur a transmis I'integralite de chaque engagement 
R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G21 Gj^i^erifienfeque-chaqiae R satisfait a une relation 

du type : 

R = Gi G2 ^. ... G„, ^ . \y mod n 



ou a une relation du type, 

R = DV Gi G2 ... G^"*" . mod n . 
Cas de la preuve de Fintegrite d'un message 

Dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le systeme selon T invention est destine a prouver a une entite 
appelee controleur I'integrite d'un message M associe a une entite appelee 
demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a T entite demonstrateur. Ledit dispositif 
demonstrateur est interconnecte au dispositif t^moin par des moyens 
d' interconnexion. II peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
systeme comporte aussi un dispositif controleur associ6 k T entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit systeme execute les etapes suivantes : 

• etape 1 : acte d 'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant une 



fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateuf comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. Le dispositif controleur comporte aussi des moyens de 
productions de defis pour produire, apres avoir regu le jeton T, des defis d 
en nombre egal au nombre d' engagements R, Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du dispositif controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : act6 de repionse D > 

Les moyens de reception des defis-d du dispositif temoin, regoivent chaque 
defi d proven^^a^t du dispositii^idemonstrateu^^^ via -^les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif temoin 
calculent les reponses D a partir des-^ defis d en appliquant le processus 
specific ci-dessus. 

• etape 4 : acte de eontrole 

Les moyens de transmission du d6monstrateur transmettent chaque reponse 
D au controleur. Le dispositif controleur comporte aussi des moyens de 
calcul, ci-apres designes les moyens de calcul du dispositif controleur, 
disposant des m valeurs publiques G^, G2, ... G„, pour d'une part, calculer 
a partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G/^ G2 ... G„ ^ • mod n 
ou a une relation du type : 

R' - W:/ Gi^ . G2^. ... . mod n 

puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
conune arguments le message M et tout ou partie de chaque engagement 



reconstruit R', un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparaison^ ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re9U. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee a 
Tune et/ou a Tautre des deux autres, le systeme selon Tinvention est destine 
a produire la signature numerique d'un message M, ci apres designe le 
message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D . 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
Tentite signataire. Ledit dispositif signataire est interconnecte au dispositif 
temoin par des moyens d' interconnexion et pent se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d' interconnexion. 




• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres d^signes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou ..partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif t6moin, regoivent chaque 
d6fi d provenant du dispositif signataire, via les moyens d'interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifi6 ci-dessus. 
Le dispositif temoin comporte des moyens de .transmission, ci-apres 
designds les moyens de transmission du dispositif t6moin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d^inteFeonnexion, 

Operation de controle. 
Pour prouver rauthenticite du message M, par une entite appelee 
controleuj^, controle le message signer 

Le systeme comporte un dispositif controleur associe a I'eiilite controleur. 
Ledit dispositif controleur se presente notamment sous la forme d'un 
terminal ou d'un serveur distant. Ledit dispositif controleur comporte des 
moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit dispositif signataire associe a F entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les *^moy^ens,. de coane^sion. Ainsi^- le dispjQsitif contrSiguri^idispose d ' un 
message signe comprenant: 
- le message M, 



- les defis d et/ou les engagements R, 

- les r^ponse D. 

La dispositif controleur comporte : 

- des moyens de calcul, ci-aprfes designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas oil le dispositif contrSleur dispose des engagements R, des d6fis 
d, des reponses D, les moyens de calcul et de comparaison du dispositif 
controleur v6rifient que les engagements R, les d6fis d et les r6ponses D 
satisfont a des relations du type 

R = Gx . G2 ... G„ . mod n 
ou a des relations du type : 

R = DV G/^ G2 ^. ... G„ ^ . mod n 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
v6rifient que le message M, les d6fis d et les engagements R satisfont a la 
fonction de hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des r6ponses D, 
les moyens de calcul du dispositif controleur calculent, a partir de chaque 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R' = Gi ''^ G2 ... G„ . mod n 

ou k des relations du type : 

R'sD'/Gi''^G2'^....G„*". modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur v6rifie 



que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements .R et des reponses D 
Dans le cas ©u le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
• fonction de hachage et calculent d' tel que 

d' = h (M, R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gi ^'^ . G2 ... G„, • mod n 
ou a des relations du type : 

R s DV Gi ^'^ . G2 '^'2. ... G„ . mod n 
Cas ou on choisife4a valeur privee^Q en premieR^sct ©Uf on deduit 
valeur publique G de la yaleur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, omchoisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee -Q, Plus 
particulierement dans ce cas, le systeme selon 1' invention est tel que les 
composantes Qi, 1 , Qi,2 > Qi, r des valeurs privees Qi, sont des nombres 
tires au hasard ^ raison d'une composante QijCQi, j = Qimod pj) pour 
chacun desdits facteurs premiers pj, Lesdites valeurs privees Qi peuvent 
etre calculees a partir desdites composantes Qi, 1 , Qi,2 ••• Qi, f 1^ 
methode des restes chinois. Lesdites valeurs publiques Gi, sont calculees en 
effectuant des operations du type 

Gi,j= Qi,/modpj 
puis, en appliquant la methode des^restes«ehinois^pour^etabldr^Gi tel que 

Gf. Qi^ = 1 . mod n ou Gi = Qj^mod n ; 
Ainsi, le nombre d' operations arithmetiques modulo pi a effectuer pour 
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calculer chacun des Gjj pour chacun des pj est reduit par rapport ^ ce qu'il 
serait si les operations 6taient effectuees modulo n. 

Avantageusement dans ce cas, le syst me selotaeU cpwentic 
1 exposant public de v rification v est un nonibre premier, 
la s curit est quivalente la connaissai©se de la valeur 
Cas o on choisit la valeur publique G en premier et o oi 
valeur priv e Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

V 

o k est -un param tre de s curit plus grand que 1. Ladite 
Gi est le g|rrd un nombre d^ildaife rieur dfaxt^urs premiers 
Pi, P2 Pf • Le nombre d^ihssate tel que les deux quations : 

x^ = gimodn et x*s-gimodn 
n'ont pas de solution en x dans I'anneau des entiers modulo n et tel que 
r equation : 

= mod n 

a des solutions en x dans I'anneau des entiers modulo n . 

Dispositif terminal 
Methode des restes chinois appliquee ^ la famille GQ 

L' invention conceme aussi un dispositif terminal associ6 a une entit6. Le 
dispositif terminal se pr^sente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire h microprocesseur. Le 
dispositif terminal est destine a prouver a dispositif controleur : 

- rauthenticite d'une entite et/ou 

- I'integrite d'un message M associe h. cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-d: 

- m couples de valeurs privees Qi, Q2, ••• Qm et publiques Gi, Gj, ... 
G„, (m etant superieur ou egal h. 1), 



- un module public n constitue par le produit de f facteurs premiers 
Pi5 P2J • • • Pf (f ^tant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type : 

Gi . Qi"" = 1 . mod n ou Gi = Qj'^mod n . 

Ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers pi et/ou les parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou les m 
valeurs privees Qi et/ou les f.m composantes Qij (Qi, j = Qimod pj) des 
valeurs privees Qjet de Texposant public v. Le dispositif temoin comporte 
aussi : 

- des moyens de production d'aleas, ci-apr^s designes les moyens de 
production d' ai6asrdu dispositif t^moinr- 

- des moyens de GalGul, ci-apr^s designes les moyens de oalcul des 
engagements R du dispositif temoin. 

Les moyens de- ealcul permettent de calculer des engagenients R dans 
Tanneau des entiers modulo Chaque engagement est calcule en 
effectuant des operations du typo 

Rj^ri'^mod Pi 

oil Ti est un alea associe au nombre premier pi tel que 0 < Fj < Pi , chaque Vi 
appartenant a une collection d'aleas {ri , , ... r^} produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois. 
Ainsi, le nombre d' operations arithmetiques modulo pi a effectuer pour 
calculer chacun des engagements Ri pour chacun des pj est r6duit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin compOFte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d, 



chaque d6fi d comportant m entiers dj ci-apres appeles d6fis 616mentaires ; 

- des moyens de calcul, ci-apres d6signes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer ^ partir de chaque d6fi d une 
r6ponse D en effectuant des operations du type : 

D, = r, . Q,,, "1 . Q,,2 ... Qi^ mod p, 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'op6rations arithmetiques modulo p, a effectuer pour 
calculer chacune des r6ponses D| pour chacun des p, est r^duit par rapport a 
ce qu'il serait si les op6rations 6taient effectu6es modulo n. 
Le dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de rauthenticite d*une entite 
Dans une premiere variante de realisation, le dispositif terminal selon 
I'invention est destin6 k prouver I'authenticite d'une entite appelee 
demonstrateur a une entit6 appel6e contrSleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif d6monstrateur 
associ6 k l'entit6 demonstrateur. Ledit dispositif demonstrateur est 
interconnecte au dispositif temoin par des moyens d'interconnexion. II pent 
se presenter notamment sous la forme de microcircuits logiques dans un 
objet nomade par exemple sous la forme d'un microprocesseur dans une 
carte bancaire a microprocesseur. 

Ledit dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un r6seau de communication 
informatique, k un dispositif controleur associ^ a I'entite contr61eur. Ledit 
dispositif controleur se pr6sente notamment sous la forme d'un terminal ou 
d'un serveur distant. 



Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte engagement R 

A chaque appel, les moyens de calcul des'^engaggments R du dispositif 
temoin calculent chaque. engagement R en-appliquant le processus specifie 
ci-dessus, 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleurv-via les moyens de connexion. 

• etape 2 et 3 : acte de defi d, acte de reponse D 

Les moyens de reception des^^defis d du^dispositif tem®iaKrefmyent chaque 
defi d provenant du dispositif eontroleurvyia les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D Idu dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif contrSleur qui procede au controle. 

Cas de la preuve de I'integrite d'un message 
Dans une deuxi^me variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif terminal selon T invention est 
destine a prouver a une entite appelee controleur Tintegrite d'un message M 
associe a une entite appelee demonstrateur. Ledit dispositif terminal est tel 
qu'il comporte un dispositif demonstrateur associe a Tentite demonstrateur. 
Ledit dispositif demonstrateur est interconnecte au dispositif temoin par des 
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moyens d'intercpnnexion. II peut se presenter notamraent sous la forme de 
microcircuits logiques dans un objet nomade par example sous la forme 
d'un microprocesseur dans una carte bancaire a microprocesseur. Ledit 
dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a Tentite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant- 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acta d 'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. 

• etape 2 et 3 : acte de defi d, acte de reponse 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T- Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. 

Ledit dispositif controleur produit, apres avoir regu le jeton T, des defis d 
en nombre 6ga\ au nombre d' engagements R. 

Les moyens de reception des defis d du dispositif temoin, regoivent chaque 



defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoln. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus sp6eijB;^Kei-dessus. 

• etape 4 : acte de controle 
Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres, le dispositif terminal selon 1' invention est destin6 a produire la 
signature numerique^d'un message M, ci apres designe le message signe, 
par une entite appelee«entite signat^i^e. 
Le message signieiGomprend?^!^ 

- le messagg^JVIfe 

- les defis'd et/©u4es engagements R,'*^ 

- les reponses D. 

Ledit dispositif terminal .etant tel qu^ comporte un dispositif signataire 
associe a Tentite signataire. Ledit dispositif signataire est interconnecte au 
dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleur associe a Tentite 
controleur-cLedits-dispositif controleur .se'^presen^ notamment sous la forme 
d'un terminal ou d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 
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• etape 1 : acte d^engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apr^s designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ay ant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d regoivent les defis d provenant du 
dispositif signataire, via les moyens d' interconnexion. Les moyens de calcul 
des reponses D du dispositif temoin calculent les reponses D a partir des 
defis d en appliquant le processus specific ci-dessus. Le dispositif temoin 
comporte des moyens de transmission, ci-apres designes les moyens de 
transmission du dispositif temoin, pour transmettre les reponses D au 
dispositif signataire, via les moyens d' interconnexion. 

Dispositif controleur 
Methode des restes chinois appliquee a toute la famille GQ 
L'invention conceme aussi un dispositif controleur. Le dispositif controleur 
pent se presenter notamment sous la forme d'un terminal ou d'un serveur 
distant associe a une entitd contr61eur. Le dispositif controleur est destine a 
prouver a un serveur controleur : 

- Tauthenticite d'une entite et/ou 

- rintegrit6 d'un message M associe a cette entite. 




Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Qj, Q2, ... Qm et publiques Gi, G29 
G„ (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2? ••• Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type : 

Gi . Qi"" = 1 . mod n ou Gi = Qj"" mod n ; 
ou Qi designe une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique Gi - 

Cas de la preuve de rauthenticite d'une entite 

Dans une premiere variante de realisationrsuseeptible^d'etre combinee avec 
les autres, le dispositif controleur sel©n*l' invention est destine a prouver 
rauthenticite d'une entite appelee demonstrateur a une entite appelee 
controleur. 

Ledit dispositif controleur. ^Gomporte des moy ens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a T entite demonstrateur. 
Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etape 1 et 2 : acte d' engagement acte de defi 
Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des^moyens de productions de def is pour 
produire, apres avoir re^u tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, chaque defi d comportant 
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m entiers dj , ci-apres appeles defis el^mentaires. 

Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion. 

• etapes 3 et 4 : acte de reponse, acte de controle 
Le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres d6sign6s les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont regus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gi, Gj, ... G„, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R^ ^G^^'. G2 ... G™ . W mod n 
ou ^ une relation du type, 

R' = DV Gi . G2 ... G„, . mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R recu. 
Deuxieme cas : le demonstrateur a transmis I'integralite de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont recus 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 



Gj, G2, ... Gm, verifient que chaque engagement R satisfait a une relation 
du type : 

R = Gx G2 ^. . . . G„, . mod n 

ou h, une relation du type, 

R = DV Gi G2 . . • G„ . mod n . 
Cas de la preuve de I'integrite d'un message 

Dans une deuxieme variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif controleur selon rinvention est destine a 
prouver I'integrite d'un message M associe a une entite appelee 
demonstrateur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagn6tiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infoiinatique, a un dispositif d^irionsti-ateur^assoeie a rentite demonstrateur. 
Ledit dispositif contrSleur permet d'executer les 6tapes suivantes : 

• etapes 1 et 2 : acte d' engagement R, acte de defi 

Ledit dispositif controleur comporte aussi-^des- moyens de reception de 
jetons T provenant du demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir regu le jeton T, defis d en nombre egal au 
nombre d' engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires. Le dispositif controleur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
dispositif controleur, pour transmettre les defis d au demonstrateur, via les 
moyens de connexion. 

• etapes 3 et 4 : acte de reponse D, actie de controle 

Le dispositif controleur comporte des moyens- de reception des reponses D 
provenant du dispositif demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de calcul, ci-apres designes 



les moyens de calcul du dispositif controleur, disposant des m valeurs 
publiques Gi, Gj, ... G„, pour d*une part, calculer h partir de chaque defi d 
et de chaque reponse D un engagement reconstruit R' satisfaisant a une 
relation du type : 

= Gi G2 ... G„ . mod n 

ou a une relation du type : 

R'sDVGi^^Gz^. ... G„^™. modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T'. 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re^u. 

Signature numerique d'un message et preuve de son authenticite 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif controleur selon I'invention est 
destine a prouver T authenticite du message M en controlant, par une entite 
appelee controleur, le message sign6. 

Le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D . 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associe a T entite signataire. Ledit 
dispositif controleur re9oit le message signe du dispositif signataire, via les 
moyens de connexion. 



Le dispositif controleur compoite : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements des defis d, des 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, les moyens de calcul et de comparaison du dispositif 
controleur verifient que les engagements R, les defis d et les reponses D 
satisfont a des relations du type 

R s Gi G2 ... G„ . mod n 
ou a des relations du t5^e : 

Puis, les moyens de ealeul et de comparaison du dispQsitif""Contr61eur 
verifient que le messag^^M^les defis d et les engagements R satisfbrit^^ la 
fonction>de-hachage 

d = h(M, R) 

• cas pu le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
les moyens de calcul du dispositif controleur calculent, a partir de chaque 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R' = Gi G2 ^. . . . G„ ^™ . mod n 

ou a des relations du type : 

R' = WJ Gi . G2 ^. ... ^ . mod n 

Puis, les^moyens de calcul et de comparaison du dispositii^ controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 



• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas oii le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gi -^'^ . G2 ""'^ ... G„ . mod n 
ou a des relations du type : 

RsDVGi'*^G2'>^... G™"'". modn 
Description d taill e de la variante de r alisation 
1 exposant public v = 2 



Description 

Rappelons robjectif de la technologic GQ M^authentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel k la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
numerique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de Tinvention porte 
plus precisement sur rutilisation des jeux de cles G02 dans le cadre de 
rauthentification dynamique et de la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, amelidrer les performances par rapp©]^-a la technologie^RSA ; d' autre 
part, eviter les problemes inherents a la technologic RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec4a technologie GQ2, la charge de travaikest reehaitev tant pour Tentite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g,. Les nombres de base etant fixes de gi a g,„ avec 
m> 1, une cle publique de verification (v, n) est choisie de la maniere 
suivante. L'exposant public de verification v est 2* ou k est un petit nombre 
entier plus^grand que.4 ik > 2).-Le^ module pufefe n est le -produit d'au 
moins deux facteurs premiers plus grands que les nombres de base, disons / 
facteurs premiers (f>2) notes par pp de /?i ... Pf. Les /facteurs premiers 



sont choisis de fagon a ce que le module public n ait les proprietes suivantes 
par ra^ort a chacun des m nombres de base de a g^. 

- D'une part, les equations (1) et (2) n'ont pas de solution en x dans 
I'anneau des entiers modulo n, c'est-a-dire que et -g, sont deux residus 
non quadratiques (mod n). 

= gi (modn) (1) 
x^=-gi (modn) (2) 

- D'autre part, Tequation (3) a des solutions en x dans Tanneau des entiers 
modulo n. 

x^'' = gi (modn) (3) 
La cle publique de verification {v, n> etant fixee selon les nombres de base 
de giSL g„^ avec /n > 1, chaque nombre de base g, determine un couple de 
valeurs GQ2 comprenant una valeur publique G,- et une valeur priv^e Qi : 
soit m couples notes de Gi a G,^ Qm- La valeur publique G, est le carre du 
nombre de base gi : soit G, = g,-^. La valeur privee (2/ est une des solutions a 
r6quation (3) ou bien Tinverse (mod n) d'une telle solution. 
De meme que le module n se decompose en /facteurs premiers, Tanneau 
des entiers modulo n se decompose en / corps de Galois, de CG(pi) a 
CG{pf). Voici les projections des equations (1), (2) et (3) dans CGipJ). 
= (modpj) (l.a) 
x^=-gi (modpj) (2.a) 

x^''=gi (modpj) (3.a) 
Chaque valeur privee Qi pent se representer de maniere unique par / 
composantes privees, une par facteur premier : Qi^j = Qi (mod pj). Chaque 
composante privee Qij est une solution a Tequation (3. a) ou bien Tinverse 
(mod Pj) d'une telle solution. Apres que toutes les solutions possibles a 
chaque equation (3.a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Qi a 
partir de/ composantes de Qi^ a : Qi = Restes Chinois (Q,i, <2,-2, -.. G,/) 



de maniere a obtenir toutes les solutions possibles a 1' equation (3). 
Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiersrentre eux :^ et b telsvque 0 < a < Z?, et deux eomposantes de 0 a 
a-l et de 0 ^ b-l ; il s'agit de determiner X== Restes Chiaois (Xay Xt)r 
c'estta-dire, le nombre-unique Z de 0 a a.b-l tel que sX(mod a) et 
Xfj^X (modZ?). Voici le parametre des restes chinois : {b (mod a)}"^ 
(mod a). Voici T operation des restes chinois : e = (mod d) \ 8- Xa-e ; si 
S est negatif, remplacer 5 par S+a ; y= a . S (mod d) ; X ^y. b-^ X^. 
Lorsque les facteurs premiers sont ranges dans Tordre croissant, du plus 
petit pi au plus grand Pf, les parametres des restes chinois peuvent etre les 
suivants (il y en a /-I, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier par^etre des restes chin®is est am {p2 (mod-px)}"^ (mod/7i). 
Le second paranietEe des)#restes^Ghinois^est j8 = {jPi-/?2 (ni®d ^3)}"^ (mod ps). 
Le / ieme^arametEe^de§i9a?est^©hite©ifSii^ p/j. (mod;^}"^ 

(mod Pi). Et ainsi de sukeidEnsudtev'^en'i/ir-l opei^ on 
etabht un premder result^t (mod^2 fois-^^ premdei^arametrerpuis, 
un second resMtat (me^#^ 1^2 foists) avee le se©©ndsfyajpameti5e?»set ainsi^de 
suite, jusqu-^aun resiiltat (m0d*"j!7i. ... pfj foisj^y), c'est^a-direv (m^ 
II y a plusieurs representations possibles de la cle privee GQ2, ce qui traduit 
le polymorphisme de la cle privee GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes k la connaissance de la 
factorisation du module n qui est la veritable cle privee GQ2. Si la 
representation affecte bien le comportement de Tentite qui signe ou qui 
s'authentifie, elle n'affecte pas le comportement de Tentite qui controle. 
Voici les trois principales representations possibles de la cle privee GQ2. 
1) La representation classique en technalogie GO consiste a stocker m 
valeurs privees i(g/^t la cle publique**de»verificati©n ;<v, n) ; emtechnologie 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
representation optimale en termes de charges de travail consiste a stocker 



rexposant public v, les /facteurs premiers pj, m./coraposantes privees j2y 
et/-l parSmMres des restes chinois. 3^ La repr esentation optimale en 
termes de taille de cle privee consiste a stocker I'exposant public v, les m 
nombres de base et les /facteurs premiers pj, puis, a commencer chaque 
utilisation en etablissant ou bien m valeurs privees Qi et le module n pour se 
ramener a la premiere representation, ou bien m,/ composantes privees j2/j 
et/-l param^tres des restes chinois pour se ramener a la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de a 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la securit6 du m^canisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
module, la technologie GQ2 ne permet pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui 
s'authentifie ou signe dispose de son propre module GQ2. Toutefois, on 
pent specifier des modules GQ2 ^ quatre facteurs premiers dont deux sont 
connus d'une entit6 et les deux autres d'une autre. 

Voici un premier jeu de cl^s GQ2 avec * = 6, soit v = 64, /w = 3, soit trois 

nombres de base : gi = 3, g2 = 5 et = 7, et/ = 3, soit un module a trois 

facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 

g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 

Pi = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

p^ = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

P3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

n^p,.p2-P3 = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CCOOEAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

Qi., = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

02.1 = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 



G3,i = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
Qi^ = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
^2.2 = 04792CB70284D16E9A158C688A7B3FEAF9G40056469E 
J23.2 = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
i2i.3 = 07BC1 AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
Q23 = OAE8551E116A3AC089566DFDB3AE003CF174FC4E4877 
(233 = 01682D490041913A4EA5B80D16B685E4A6DD88070501 
2i = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 
C74D9743435AB4D7CF0FF6557 

Q2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB17563B9B3DC^82D5271949F3DBA5A7OCIO8F561A274405A5CB8 
82288273 ADE67353A5BG3 1 6G093- 

Qj = 09AA6F4930mA70(l€E>FA7<744€^ll507f^OD®t€D77490E3398A 
AD9DC50249G343 129 1 5E559 17 Al Eir4D83AA3De07E3EB5G8B 1 97 
697238537FE7A0195C5E8373EB74m • 

Voici un second jeu de eles GQ2, avee^A: = 9, soil v = 512, m = 2, soit deux 
nombres de base : = 2 et g2 = 3, et/ = 3, soit un module a trois facteurs 
premiers congrus a 3 (mod 4). 

/?! = 038521 03E40GD4F06FA7BAA9GG8D5BGE96E3984570GB 
P2 = 062AC9EC42AA3E688DG2BG871G8315GB939089B61DD7 
/73 = 0BGADEG219F1DFBB8AB5FE808A0FFGB53458284ED8E3 
n=Pi.p2'P3 = FFFF5401ECD9E537F167A80G0A9111986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF007 1 6DG7539F7GBBGF969E73 A0G49 
761B276A8E6B6977A21D51669D039F1D7 

= 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
(22J = 0326©12E€f 994ECDG9BxBt8©.7GlG45OlBMaAE94-8€8B0E 

= 02D0B4CG95A2DD435D0E22BFBB29C59418306F6GD00A 
Q2,2 = 045EGB881387582E7G556887784D2671GA118E22FGF2 



j2i3 = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 

= 0AB9F81DF462F58A52D937EbD81F48FFA4A87A9935AB 
Qi = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 
EDD A092D0CF1 08D0AB7084O5D A46 

Q2 = 230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B 1C2DD541 13ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 
Authentification dynamique 

Le m^canisme d' authentification dynamique est destine ^ prouver ^ une 
entit6 appel6e controleur I'authenticite d'une autre entite appelee 
demonstrateur ainsi que rauthenticit6 d'un 6ventuel message associ6 M, 
de sorte que le controleur s'assure qu'il s'agit bien du demonstrateur et 
eventuellement que lui et le demonstrateur parlent bien du meme message 
M. Le message associe M est optionnel, ce qui signifie qu'il pent etre vide. 
Le mecanisme d' authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de defi, un acte de reponse et un acte 
de contrdle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le contrdleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on peut isoler un temoin, de maniere k isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon I'une des trois representations evoquees ci-dessus : -les/ 
facteurs premiers et les m norabres de base, • les m./composantes privees, 
les/facteurs premiers et/-l parametres des restes chinois, • les m valeurs 
privees et le module n. 

Le temoin peut correspondre k une realisation particuliere, par exemple, 
• une carte h. puce reliee a un PC formant ensemble le demonstrateur, ou 



• 3S H 



encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulieremenrproteges au sein d'une carte a 
puce. Le temoin ainsi isole est semblable au temoin defini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble {R, d, D} constitue un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrateur dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message Af. 
Le controleur dispose du module n et des parametres A: et m ; le cas echeant, 
il dispose egalement de la meme fonction de hachage et d'un message M\ 
Le controleur est apte a reconstituer un engagement /?' a partir de n'importe 
quel defi d et de n'importe quelle reponse D. Les parametres k et m 
renseignent le controleur. Faute d'indication contraire, les m nombres de 
base de gi a sont les m premiers nombres premiers. Chaque defi d doit 
comporter m defis elementaires notes de dy a d^: un par nombre de base, 
Chaque defi elementaire de d^ a d/^ doit prendre une valeur de 0 a 2*^^-1 (les 
valeurs de v/2 a v— 1 ne sont pas utilisees). Typiquement, chaque defi est 
code par m fois k-1 bits (et non pas m fois k bits). Par exemple, avec k = 6 
et m = 3 et les nombres de base 3, 5 et 7, chaque defi comporte 15 bits 
transmis sur deux octets ; avec A = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les (A:-l).m 
defis possibles sont egalement probables, la valeur (fe-l).m determine la 
securite apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2^*"^^'". Lorsque {k-l).m vaut de 15 a 20, un triplet suffit a assurer 
raisonnablement rauthentification dynamique. Pour atteindre n'importe 
quel niveau de securite, on pent produire des triplets en parallele ; on peut 
egalement en produire en sequence, c'est-a-dire, repeter T execution du 
mecanisme. 



1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le t6moin dispose des m valeurs priv6es de 'Qi a Qm et du module n, 
il tire au hasard et en prive un ou plusieurs al6as r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), 11 transforme chaque alea r en un 
engagement R. 

Rsr^ (modn) 
Voici un exemple avec le premier jeu de cl6s avec ^ = 6. 
r = B8AD426C1 AC0165E94B894AC2437C1B 1797EF562CFA53A4AF8 
43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
919967C3E2FB4B4566088E 

R = FFDD736B666F41FB77 1776D9D50DB7CDF03F3D97647 1B25C56 
D3AF07BE692CB 1FE4EE70FA77032BECD841 1B813B4C21210C6B04 
49CC4292E5DD2BDB00828AF18 

Lorsque le temoin dispose des / facteurs premiers de pi a pj et des m.f 
composantes priv6es Qij, il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea par facteur 
premier p, (0 < r, < pi) ; puis, par k 616vations successives au carre (mod p,), 
il transforme chaque alea r,- en une composante d'engagement 

R^s:^ (modPi) 

Voici un exemple avec le second jeu de cl6s avec k = 9. 

ri = B0418EABEBADF0553A28903F74472CD49EE8C82D86 

i?i = 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 

r2 = 75A8DA8FE0E60BD55D28A218E31347732339F1D667 

R2 = 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 

rs = 0D74D2BDA5302CF8BE2F6D406249D148C6960A7D27 

Rj = 06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C 

Pour chaque collection de/ composantes d'engagement, le temoin 6tablit un 

engagement selon la technique des restes chinois. II y a autant 

d'engagements que de collections d' aleas. 



R = Restes Chinois(i?i, /?2. R/) 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 
D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C34S8D1E37C9 
9 123B56446F6G928736B 17B4B A4A529 

Dans les deux cas, le demonstratem' transmet au conteoieur tout ou partie de 
chaque engagement J?, ou bien, un code de hachage H obtenu en hachant 
chaque engagement R et un message M. 

2) L'acte de defi consiste a tirer au hasard un ou plusieurs defis d 
composes chacun de m defis elementaires di ^2 I chaque defi 
elementaire prend Tune des valeurs de 0 a v/2-1 . 

d= di ^2 • • • 

Voici un exemple potir le preixiier jeu de ciles avec^^fe = 6^et m = 3. 

= 10110 = 22 = V16' ; fifa = 00111 = 7 ; = OOOiO = 2, 
d = 0\\ di 4 I ^1 I ^/3 = 0rOlf00®iM10®©a50i= 58112 
Voici un exemple pour le second jeu ^de cles avec A: = 9 et m = 2. , 
d= di I I (^2 = 58 E2 == soit en decimal^^8 et 226; : 
Le controleuF transmet au demonstirateuF chaque .defi^^ 

3) L'acte de reponse comporte les opemtions suivantes. 

Lorsque le temoin dispose des m valeurs privees de <2i a et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de I'acte 
d'engagement et les valeurs privees selon les defis elementaires. 

X=Qf^Qj2^Q^ (moc3n) 
D = rX (modn) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 
A2C6A290273479FEC917 1990A17 

Lorsque le temoin dispose des / facteurs premiers de pi a pj et des m.f 
composantes privies (2ij, il calcule une ou plusieurs collections de / 



composantes de reponse en utilisant chaque collection d'aleas de Facte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

Di=3iXi (modPi) 
Voici un exemple pour le second jeu de cl6s. 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 
D^ = r^. Q,f^ . G^*" (mod p^) = 

04C15028E5FD1 175724376C1 1BE77052205F7C62AE3B 
D, = r^. . j22/' (mod/73) = 

0903D20DOC306C8EDA9D8FB5B3BEB55E061AB39CCF52 
Pour chaque collection de composantes de reponse, le temoin 6tablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(Z)i, D^, ... 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF530F8402BD9C5 1 1F5FB3B3 A309257 AOO 
1 95 A7305C6FF3323F72DC1 AB 

Dans les deux cas, le demonstrateur transmet chaque reponse D au 
contrSleur. 

4) L'acte de controle consiste a controler que chaque triplet {R, d, D) 
verifie une equation du type suivant pour une valeur non nulle . 

Rj][Gfi = D2 (modn) oubien R = D^ li^i ^^^^^^ 

ou bien, ^ r6tablir chaque engagement : aucun ne d oit etre nul. 

RfeD^' /JTefi (modn) oubien R^D^ li^f (modn) 
i=l i=l 
Eventuellement, le controleur calcule ensuite un code de hachage H ' en 



hachant chaque engagement r6tabli i?' et un message M'. L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a regu a 
Tissue de I'acte d'engagement, c'est-i-dire, tout ou partie de chaque 
engagement R, ou bien, le code de hachage 

Par exemple, une sequence d'op6rations 616mentaires transforme la r6ponse 

D en un engagement R'. La sequence comprend k canes (mod n) separes 

par k-l divisions ou multiplications (mod n) par des nombres de base. Pour 

la I ieme division ou multiplication, qui s'effectue entre le i ieme carr6 et le 

i+l ieme carre, le / ieme bit du defi elementaire indique s'il faut utiliser 

gi, le i ieme bit du d6fi 616mentaire d2 indique s'il faut utiliser g2, 

jusqu'au / ieme bit du defi el6mentaire d„ qui indique s'il faut utiliser g„. 

Voici un exemple pout?le premier jeu de Cl6s- 

1)2 (mod n ) 

FD12E8EtFr370AE@9(^Bl\2E®ia80AE)2B69SD34^^^ 

269394871 549 lFOEa09-LB76O6«lE744EO688367D'ZBB©98F7B73D5F7 

FDA95D5BB6347DC8B978GA2.L7733 

3 . (mod rt) = F739B7089M166©FE715800D8A9Di8FC3F332FF622D 
3EAB8E^977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 
98704 1B4852890D83FC6B48D3EF6A9DF 

3^ . (mod n) = 682A7AF28(X:49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF 
8826635790743EA7D9A15A33ACC7491D4A7 

3* . D« (mod n) = BE9D828989A2C184E34BA8FE0F384811642B7B548F 
870699E7869F8ED851FC3DB3830B2400C5 1 65 11 A0C28AFDD210EC3 

939E69D4 1 3F0B ABC6DEC44 1 974B 1 A29 1 

3^.5 .D^ (mod n) = 2B40122E225.CD858B26D27B7686-32923F2BBE5 
DB 1 5CA9EFA7-7EEA667E554a\mAD.l Al-E4F6Bi:9Bl)>9E€ AE4A537D 
4AC 1 E89C2235C363830EBF4DB42CEA3D A98CFE00 
3 ^ ° . 5^ . D' ^ (mod n ) 



BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C93 1C66F6C7509B 1 1 8E3C1628 1 1 A98169C30D4DEF768397DD 

B8F6526B67 1421 8DEB627E1 1FACA4B9DB268 

3 ' ^ . 5' . 7 . ^ (mod n ) 

DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13D02AB0FA5F8C8DDB5025E34282311CEF80BACDCE5D0C433444 

A2AF2B 153 1 8C36FE2AE02F3C8CB25637C9AD7 12F 

3^ . 5^ 7^ ZP32 (mod n) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5D09A2278F8FEE1DFD94EE84D09D000EA8633B53C4A0E7F0A 

EECB70509667A3CB052029C94EDF27611FAE286A7 

DE40CB6B41C01E722E4F3 12AE7205F18CDD 

0303EA5226 1 CB0EA9F0C7E0CD5EC53D42E5CB645B6BB 1 A3B0OC77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

344 514 . 74 £,64 (jjjQjj c'est-a-dire, 3^^^ . 5^ . 7* . (mod n) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB 1FE4EE70FA77032BECD841 1B813B4C 

21210C6B0449CC4292E5DD2BDB00828AF18 

On retrouve bien 1' engagement R. L'authentification est reussie. 

Voici un exemple pour le second jeu de cl6s. 

(modn) = C66E585D8F132F7067617BC6D00BA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 
693F8395ACEF9206B 172A8A2C2CCBB 

3 . (mod n) = 534C61 14D385C3E15355233C5BOOD09C2490D1B8D8E 
D3D5921 3CB83EAD4 1C309A1 875 19E5F501C4A45C37EB2FF38FBF20 
1D6D138F3999FC1D06A2B2647D48283 

32 . D* (mod n) = A9bC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C4231AC9BIEBD93D5D49422408E47 
15919023B16BC3C6C46A92BBD326AADF 



(mod n) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 
3F2BA4C12B0A8496A0148B4DFBAFE838E0B5A7D9FB4394379D72A 
107E45C51FCDB7462D03A35002D29823A2BB5 

22 . 3M)« (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 
6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1 A0D5A721 Al 890D03A00BD8 

2^ . 3'' . (mod n) = E4632EC4FE4565FC4B3126B15ADBF996149F2D 

BB42F65D9 1 1 D385 1 9 1 0FE7EA53DAEA7EE7B A8FE9D08 1 DB78B249 

B IB 1 8880616B90D4E280F564E49B270AE02388 

2" . 3^" . D'^ (mod n) = ED3DDC716AE3D1EA74C5AF935DE814BCC 

2C78B 1 2A6BB29FA542F998 1 C5D954F53D i 53B 9F0 1 98B A82690EF 

665C17C399607DEA54E218C2C01A890D422EDA1€FA3« 

2^ . 3' " . ^ (mod n ) 

DA7C64E0E8BDBm®18i3Bf«lA«lsiM#Blt^6148^^* 

6B00OFBB473F5FCBFSA5D8D26e7B2A05D03B©DD588164E562D0F5 

7 AE94AE0Am3F35ei6TC0891F4©9 1 DOOBOSED^F 

210 328 £)32 (jjjQj^ 6ED6AFQ§A'87D2E)iD117B0E)89072G99FB9DC9 

5D558F65B6A1967E6207D4A'DEBA32001D3828A35069B-256A07C3D 

722F 17D A30088E6E739FBC41 9FD7282D 1 6CD6542 

2" . 3^ . (mod n) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB1ECB6D432CFCC40FA95B77464P03A705146AOD364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

222 356 £>64 (jjjod n) = A466D0CB17614EFD961000BD9EABF4F021 

36F8307101882BC1764DBAACB715EFBF5D8309AE001EB5DEDA 

8F00OE44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

244 3112 2)128 (j^ojj ^) ^ 925B0EDF5047EFEG5AFABD.C03A830919761 

B8FBDD2B.E934EaA8tA31E29B976274B)513O0?€'M@6@tl4'§§«©4F65'F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

244 3113 £,128 (jnodn) = B711D89C03FDEA8D1F889134A4F809B3F2D 
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8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 

BFB912A04F11D9DB9D076021764BC4F57D47834 

2 8 8 ,3'^^ . D^^ (mod n ) 

41 A83F1 19FFE4A2F4AC7E5597A5D0BEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 
FCC628021B4648D7EF757A3E461EF0CFF0EA13 

2176 3452 (njod n), soit 488 . 922^ . £>5'2 (mod n) = 

28AA7F12259BFBA8 

1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FC0F9D 

AC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA 

4A529 

On retrouve bien 1' engagement R. L'authentification est reussie. 
Signature numerique 

Le mecanisme de signature num€rique permet a une entite appelee 
signataire de produire des messages signes et a une entite appelee 
controleur de verifier des messages signes. Le message M est une sequence 
binaire quelconque : il pent 8tre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les reponses correspondantes. 
Le contrdleur dispose de la meme fonction de hachage, des parametres k et 
m et du module n. Les parametres k etm renseignent le controleur. D'une 
part, chaque defi el6mentaire, de a d,„, doit prendre une valeur de 0 a 
2*~^-l (les valeurs de v/2 a v-1 ne sont pas utilisees). D' autre part, chaque 
defi d doit comporter m defis elementaires notes de d^ a d„, autant que de 
nombres de base. En outre, faute d' indication contraire, les m nombres de 
base, de gi a g^, sont les m premiers nombres premiers. Avec (k-l).m valant 
de 15 ^ 20, on peut signer avec quatre triplets GQ2 produits en parallele ; 
avec {k-l).m valant 60 ou plus, on peut signer avec un seul triplet GQ2. Par 
exemple, avec ife = 9 et m = 8, un seul triplet GQ2 suffit ; chaque defi 




comporte huit octets et les nombres de base sont 2, 3, 5, 7, 11, 13, 17 et 19. 
L 'operation de signature est une sequence de trois actes : un acte 
d' engagement, un acte de defi et un acte de reponse, Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R 0), un 
defi d compose de m defis elementaires notes par a|, ... dffi et une 
reponse D (^0), 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
privee GQ2, c'est-a-dire, de la factorisation du module n selon Tune des 
trois representations evoquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d'engagement et de reponse, de 
maniere a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le temoin dispose du 
parametre J: et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon I'une- des-trois representations evoquees ci-dessus. Le 
temoin ainsi isole est semblable au temoin defini au seiii du demonstrateur. 
II peut correspondre a une realisation particuliere, par exemple, • une carte 
a puce reliee -a un PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'un PC, ou encore, • des 
programmes particulierement proteges au sein d'une carte a puce. 
1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs privees de Qi a et du module n, 
il tire au hasard et en prive un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), il transforme chaque alea r en un 
engagement R. 

R = f^ (mocan) 

Lorsque le temoin dispose des/facteurs premiers de pi a /?/ et des m.f 
composantes- privees j2ij, il tire/ au liasard et en-^pri^e une ou^^^plusieurs 
collections de / aleas : chaque collection comporte un alea r^- par facteur 
premier (0 < r, < /?;) ; puis, par k elevations successives au carre (mod p^X 
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il transforme chaque alea r, en une composante d' engagement 

R^-if (modpi) 

Pour chaque collection de/composantes d' engagement, le temoin etablit un 
engagement selon la- technique des restes chinois. II y a autant 
d' engagements que de collections d'aleas. 

R = Restes Chinois(/?i, i?2» • • • ^/) 

2) L'acte de defi consiste h, hacher tous les engagements R et le message a 
signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs defis comprenant chacun m d6fis 61ementaires ; 
chaque defi elementaire prend une valeur de 0 a v/2-1 ; par exemple, avec 

= 9 et m = 8, chaque defi comporte huit octets. II y a autant de defis que 
d' engagements. 

d=^di ^2 • • • extraits du resultat Hash(M, R) 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque la temoin dispose des m valeurs privees de Qi a et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Tacte 
d' engagement et les valeurs privees selon les defis elementaires. 

X=Q^Q2'-Qj^ (modn) 
D s rX (modn) 

Lorsque le temoin dispose des/facteurs premiers de /?i a /?/ et des m./ 
composantes privees Qip il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de Tacte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par f acteur premier. 

Pour chaque collection de composantes de reponse, le temoin Etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 



D = Restes Chinois(£)i, Z>2, Dy) 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-a-dire, chaqwe engagement /?, chaque 
defi d et chaque reponse 

- ou bien, chaque engagement R et chaque reponse D correspondante, 

- ou bien, chaque defi d et chaque reponse D correspondante. 

Le deroulement de F operation de verification depend du contenu de 
r appendice de signature. On distingue les trois cas. 

Au cas ou 1 'appendice comprend un ou plusieurs triplets, 1' operation de 
controle comporte deux processus independants dont la chronologie est 
indiff^rente. Le controleur accepte le messag^c signe si et seiCfement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet- doit etre eoh^remt (une relati©ii^bappropriee du 
type suivant doit etre verifiee) et recevable (la comparaison doite^se faire sur 
une valeur non nuHe). 

R fjcfi ^ © 2 (modn) ouMen R = ® ^ fj^^ ;(modn) 

i=l i=l 

Par exemple, on transforme la reponse D par une sequence d' operations 
elementaires : k carres (mod n) separes par k-\ multiplications ou divisions 
(mod n) par des nombres de base. Pour la / ieme multiplication ou division, 
qui s'effectue entre le / ieme carre et le z+1 ifeme carr6, le i ieme bit du defi 
elementaire di indique s'il faut utiliser gi, le / ieme bit du defi elementaire 
^2 indique s'il faut utiliser g2, . jusqu'au i ieme bit du defi elementaire d^^ 
qui indique s'il faut utiliser g„^. On doit ainsi retrouver chaque engagement 
R present dans Tappendiee de signature. 

D' autre part, le ou les triplets doivtent etre^lies au message*^!/J^-&|pn hachant 
tous les engagements R et le message M, on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 



d-di ^2 • • • identiques a ceux extraits du r6sultat Hash(M, R) 
Au cas ou I'appendice ne comprend pas^e defi, 1' operation de controle 
commence par la reconstitution de un ou plusieurs defis d' en hachant tous 
les engagements R et le message M. 



Ensuite, le contr61eur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 
recevable (la comparaison se fait sur une valeur non nuUe). 



Au cas ou I'appendice ne comprend pas d'engagement, 1' operation de 
controle commence par la reconstitution de un ou plusieurs engagements R' 
selon une des deux formules suivantes, celle qui est appropri6e. Aucun 
engagement retabli ne doit etre nuL 



Ensuite, le controleur doit hacher tous les engagements R' ctle message M 
de fa9on a reconstituer chaque defis d. 

d ^di ^2 - • • identiques a ceux extraits du resultat Hash(M , R ') 
Le controleur accepte le message signe si et seulement si chaque defi 
reconstitue est identique au defi correspondant figurant en appendice. 



Dans la presente demande, on a montre qu'il existait des couples de valeurs 
privee Q et publique G permettant de mettre en ceuvre le procede, le 
systeme et le dispositif selon T invention destine a prouver I'authenticite 
d'une entite et/ou Tintegrite et/ou I'authenticite d'un message. 
Dans la demande pendante deposee le meme jour que la presente demande 



d' = d\ d\ ... d'^, extraits du resultat Hash(M, R) 
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(modn) oubien R^D^ Fl^i' 



par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean- Jacques Quisquater, on a decrit un procede pour 
produke des jeux de cles GQ2, k savoir, des -modules m et des- couples de 
valeups publique G et privee Q dans le cas ou I'expQsant v est igal^a 2*. EUe 
est incorporee ici par reference. 

Cette description detaillee de T invention dans le cas oii v = 2* est 
susceptible d'etre generalisee a d'autres valeurs de v. C'est d'ailleurs ce qui 
a ete expose, en contrepoint aux revendications, dans les premieires pages de 
la description concemant le cas ou v est different de 2*. Pour autant que cela 
soit necessaire, notamment pour des raisons ressortant des regies d'ecriture 
d'une demande de brevet, et qu'il faille egalement dans cette partie de la 
description expliciter rinvention dans le cas oil v est different'^de t*, les 
premieres pages de la deseription seront egalement supposees avoir ete 
inserees* a la suite de ©e paragraphed^ 



Frocede destine a prouver I'aotlaeatidte d'nne emtittg on rintegrit^ d'lan message 

ao moyen d'un esposant pablic a uiae puissaaace de dmx. 
La presente invention conceme les' precedes, les systemes ainsi que les 
dispositife destines a in-ouver Tautiienticite d'une entite et/ou TintSgrit^ 
et/ou I'authenticitd d'un message. 

Le brevet EP 0 31 1 470 Bl dont les inventieuis sont Lotus Gnillou et Jean- 
Jacques Quisquater decrit iin tel precede. On y fera ci-apres reference en le 
designant par les tennes : '^brevet GQ" ou " precede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le proc6de GQ, une entite appelee " autorite de confiance " attribue 
une identity k chaque entite appel6e " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, Tautorite de confiance 
dome identite et signature au temoin. Par la suite, le t^oin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la reveler qu'il comiait la signature RSA de son identity. Grace a la cle 
publique de verification RSA distribuee par rautorit^ de confiance, une 
entity appelee " contrdleur " verifie sans en prendre comiaissance que la 
signature RSA correspond k ridentit6 proclamee. Les mecanismes utilisant 
le precede GQ se deroulent " sans transfert de comiaissance Selon le 
proc6d6 GQ, le t^oin ne connait pas la cl6 priv^e RSA avec laquelle 
r autorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette d6pendance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multipUcatives" centre les 
diverses nonnes de si^ature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 



perfonnances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la eonnaissance de. la factorisatiori du module 
Toute attaque au niveau des triplets GQ2 se ram^ne ta la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour Tentite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 
Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme-taflle^ Sieves a des puissanqes c de ^rordre de 2*^ + 1. Or les 
infrastructures mieroelectroniquesTexistantes, notamment dans-.^^^^^ domaine 
des cartes baneaires^fonttusage der^croprocesseui^s^-auto-programmables 
monQlithiques:;*.dep0.ui^s^de coproj^esseurs arithnaitaques. La charge de 
travails Uee.*^ux . multiples op#at^ arithmetiques^ impliquges par des 
procedes5?tels^que le ^proeede GQ,<K^^ des tempsfde caleul qui dans 
certains cas s'averent penalisant pour les consommateiLFS utilisant des 
cartes bancaires pour acquitter leurs achats, n est rappele ici, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorit^s 
bancaires posent un probleme particulierement delicat a resoudre. En efifet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n'entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure ou, en -outre^ il convient de tenir compte de 
rinfrastmJKtwe^eii*! lae^ ^t des^jomp^smte^mieropra^iessjiins:^^ 
La technologie GQ2 a pour objet d'apporter une solution a ce probleme 
tout en renforgant la securite. 



FrocMi 

Plus particulierement, rinvention conceme un precede destine a prouver a 
une entite controleiir, 

- I'authenticite d'une entite et/ou 

- rintegrit6 d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs priv6es Qi, Qj, ... Qm et publiques G„ Gj, ... 
(m etant superieur ou egal k 1), 

- un module public n constitue par le produit de f facteurs premiers Pi, 
P2, ... Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 

du type : 

Gj . Q," s 1 . mod n ou G, s Q,^ mod n 
Ledit exposant v est tel que 

oii k est un parametre de securite plus grand que 1 . 

Ladite valeur pubUque Gj est le carre d'un nombre de base g, inferieur 
aux f facteurs premiers p„ P2, • • • Pf • Le nombre de base g, est tel que : 

les deux Equations : 

x^ = gimodn et x^s^gjinodii 
n'ont pas de solution en x dans I'anneau des entiers modulo n 
et tel que : 

r^quation : 

■s* s gj' mod n 

a des solutions en x dans I'anneau des entiers modulo m . 

Ledit precede met en ceuvre selon les etapes ci-apres definies une entite 

appelee temoin. Cette entite dispose des f facteurs premiers pj et/ou des 



• # 



parametres des restes chinois des facteurs premiers et/ou du module public 
B et/ou des^ valeurs privees et/ou des/iim composantes Qj^j (Qj^ j = Qj 
mod pj) des valeurs privees^^Qj et de Texposant public v . 
Le temoin^xalcule des engagements R dans^vranneam des -entiiers^^ modulo m. 
Chaque engagement est calcule : 

• soit en effectuant des operations du type 

ou rest un alea tel que 0 < r< a, 

• soit 

en effectuant des operations du type 

ou Fj est un al6a asspqi^ au nombrfe premier pj tel que '0 < < Pj , chaque rj 
appaptenant a ime collection d'aleas {ri 9 ifj , r^} , 

puis en appliquantla methoderdes restes chinois, 
Le temoin^egoit im^ plusieu^^defis^d. Chaque de d comporte m entiers 
dj ci-apres appeles defis elementaires. Le temoin ealcule a pai^tir de chaque 
defied unexr^ponse U,. 

« soit en effectuant des -operations du type-^ : 

D s r . Qi Q2 . . . Qn, mod m 

• soit 

en effectuant des operations du type : 

B| ^ . ^^ Qi;j ..o Qi,^ ^ mod Pj 

puis en appliquant la methode des restes chinois. 
Ledit procede est tel qu-il y a autant de reponses D que de defis d que 
d' engagements R, Chaque groupe de nombres R, d, D constitue im triplet 
note{R,d,D}. 

C^s«i|ie«ki ip'f we^de4^^2^a<^^Q#|^e^^'^ 
Dans une premiere variante de realisation le procede selon Tinvention est 
destine a prouver Tauthenticite d'une entite appel6e demonstrateur a une 



entite appel6e contrdleur. Ladite entit6 demonstrateur comprend le t^moin. 
Lesdites entites demonstrateur et contrdleur ex6cutent les etapes 
suivantes: 

9 etape 1 : acte d'cQgagememit R 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus sp6cifi6 ci-dessus. Le demonstrateur transmet au controleur tout 
ou partie de chaque engagement R. 

9 ^tape 2 : acte de d^iS d 
Le contrdleur, apres avoir re?u tout ou partie de chaque engagement R, 
produit des defis d en nombre 6gal au nombre d'engagements R et 
transmet les defis d au demonstrateur. 

».61ape 3 : acts de ripomse B 
Le t&noin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

a etape 4 : acte de contrdle 
Le d&nonstrateur transmet chaque r^ponse D au contrdieur. 
Premier cas : le d^monstrateiar a transmis ime partie de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gi, Gj, ... 
G„, calcule a partir de chaque d6fi d et de chaque reponse D un 
engagement reconstmit R' satisfaisant a une relation du type : 
R» s Gj Gj G„ D'' mod n 

ou a une relation du type, 

R'sD^/ Gi * . Gj ^, ... G^'^ . modm . 
Le contrSleur v6rifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
Deiraesne cas : le demonstrateur a trausmis I'iaatsgraiile de chaque 
engagememtR 




Dans le cas ou le demonstrateiir a transmis Tintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gj, 
Gnj, verifie que chaque engagement R satisfait a une^-relation du^type : 

R = Gi . G2 ... G„ ^ . DT.modffl 
ou a une relation du type, 

R = DVGi G2 ^. ... G^ ^™ . mod a / 
Cas de ia preuave de Fintegote d'laM message 
Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le precede selon T invention est destine a prouver a une 
entite appel^e contrSleur Tintegrite d'un message M associe a une entite 
appelee d^monstrateur. Ladite entite demonstrateur comprend le temoin, 
Lesdites ^^entites demonstrateur et contrdleur . ex^cutent les etapes 

suivantes:- 

@ etape 1 : acte d'engagement R 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus speeifie^i-dessus. > 

® etape^^ acte de deS d 
Le demonstrateur applique une fonction de hachage li ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins xm jeton Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apr^s avoir re9u un jeton T, produit des d6fis d 
en nombre egal au nombre d' engagements R et transmet les defis d au 
demonstrateur. 

© etape 3 : acte de repoMse-D 
Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifi^'^ei-dessus. 

© etape 4 : acte de coiatisole - 
Le demonstrateur transmet chaque reponse D au contrSleur. Le controleur, 
disposant des m valeurs publiques Gj, Gj, ... G^, calcule a partir de chaque 



d6fi d et de chaque reponse B un engagement reconstruit R' satisfaisant a 

I 

une relation du type : ^ 

W s G, Q^ G„ ^ . D^modii 
ou a une relation du type : 

R» = DV Gi . Gj G„ . mod m 
Puis le controleur applique la fonction de hachage la ayant conane 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T'. Puis le contrdleur v&ifie que le 
jeton T' est identique au jeton T transmis. 

Signature immerique d'nm message etpreiiave de son authenticity 
Dans une troisieme variante de reaUsation susceptible d'dtre combinee aux 
deux precedentes, le proc6d6 selon I'invention 1 est destine a produire la 
signature numerique d'un message M par une entite appelee entite 
signataire. Ladite entite signataire comprend le temoin. 
Op^ratioD de signature 

Ladite entit6 signataire execute une operation de signature en vue 
d'obtenir im message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entite signataire execute I'operation de signature en mettant en 
oeuvre les etapes suivantes : 

9 etape 1 : acte d'engagement R 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus sp^ifi6 ci-dessus. 

e etape 2 : acte de defi d 
Le signataire appUque une fonction de hachage Ii ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 



d'engagements R, 

« etape 3 : ac^^de repoaase D . 
Le temoin calcxile des reponses D a partir des defis d en appliquant le 
processus spdcifie ci-dessus, 
Operati0]fl^'<ie GOM'feSicf 

Pour prouver Tauthenticite du message M, une entite, appelee controleur, 

controle le message signe, Ladite entite controleur disposant du message 

signe execute une operation de controle en procedant cpmme suit. 

• cas le controleur dispose des engagemeaits -R, des defis d, des 

r^poBses 

Dans le cas ou le controleur dispose des engagements des defis d, des 
reponses Die coi^oleur verifie que les ^engagemen^^ et les 

reponses D satisfont a des relations du lype 

R s ^1 . Gi ^. i.. Gr^ . D^ ;mGd.ii ^ 
ou a des^relations'^du^^ec* 

Puis le ©ontroletewerifie^'que de message^ de£s^d efeies ^^engagements 
R satisfont a la fonction de hachage 

d = h (message, R) 
«» cas ou le coBtroIemr dispose des defis d et des r^pomses D 
Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, 
des engagements W satisfaisant a des relations du type : 
R» = G^ ^1 . G2 ... G^ D^moda 
ou h des relations du type : 

R'= D^ / G^^^ . Gj/". ... G^.^ mod m 
Puis le contrSleur verifie que le message -^M'^'dt ies -defis d satisfont a la 
fonction de hachage 

d = la (message, R') 



o cas oil le coratrolewr dispose des engagemeaits R et des r^ponses D 
Dans le cas ou le controleur dispose des engagements R et des r^ponses B, 
le controleur applique la fonction de hachage et reconstmit d' 

d' = h (message, R) 
Puis, contrdleur verifie que les engagenients R, les defis d' et les r^ponses 
D, satisfont a des relations du type : 

R s G/'^ G/^ . . . G„ . W mod n 

ou i des relations du type : 

R s / Gi "'^ . G2 ""^ ... G„ . mod n 
Systeme 

La presente invention conceme egalement un systeme destin^ k prouver a 
un serveur controleur, 

- I'authenticite d'une entite et/ou 

- rint6grit6 d'un message M associ6 a cette entity. 

Cette preuve est 6tablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q2, ... Q« et publiques Gj, Gj, ... 
G„ (m etant sup^eur ou 6gal a 1), 

- un module public n constitue par le produit de f facteurs premiers Pi, 
P2, .. . Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

Ledit module, ledit exposant et lesdites valeurs sont Hes par des relations 

du type : 

Gj. Qi" s 1 . mod n ou Gi s Qj^'mod n . 
Ledit e:q)Osant v est tel que 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur pubUque G, est le carre gi' d'un nombre de base infeiieur 

aux f facteurs premiers Pj, P2, ... Pf • Le nombre de base gj est tel que : 




les deux equations : 

= g, mod n et s «• g mod n 
n'ont pas de -solutioii en x dans .rameau des entiers.modulo m 
etstel que : 

Tequation : 

s"^ s gj^ mod m 

a des solutions en x dans I'anneau des entiers modulo m . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteiirs premiers Pj et/ou les param^tres des restes chinois 
des facteurs premiers et/ou le module publie n et/ou les- m valei^ privies Qi 
et/ou les f jm^eomposantes Qj, j (Qi, j = Qi mod- p{) des valeurs privees Qj et 
I'exposant public v . Ledit dispositif t€moin»eomp;©i?te»aussi' :* 

- des moyens de production d'aleasi ci-aprds d^sign^s les moyens de 
production d'aleas du^disp©sitif temoin, 

- des moyens de calcul, ci-apres *d6si^es les »moyens de-ealeul des 
engagements R du dispositif temoin. 

Les moyens de calcul permettent de calculer des engagements R dans 
I'anneau des entiers modulo n . Chaque engagement est calcule : 
• soit en effectuant des operations du 

Rsr^modm 

ou r est un alea produit par les moyens de production d'aleas, r etant tel 
queO<r<is, 

• soit en effectuant des operations du type 
Rj s ri^mod 

ou r,est un al6a associ6 au nombre premier r tel que-O-'S r, < i>, . chaque Tj 
appartenant a une collection d'aleas {rj , , ... produits paries moyens 
de production d'aleas, puis en appliquant la methode des restes chinois . 



Ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de r^c^tion 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci aprds .designes les moyens de calcul des 
r^ponses D du dispositif temoin, pour calculer a partir de chaque d^fi d une 
reponse D, 

• soit en effectuant des op^tions du type : 

D s r . Q/* . Q2 ... Qm *" mod m 

• soit en effectuant des op^tions du type : 

Pi = Tj . Qi.1 . Qi^ ... Qi,™ mod Pi, 
puis en appliquant la methode des restes chinois, 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieuis engagements R et une ou plusiexirs reponses D. 
n y a autant de reponses D que de defis d que d'engagements R. Chaque 
groupe de nombres R, d, D constime un triplet note {R, d, P}. 

Cas de la preiive de raathenticite d'une eaitite 
Dans une premiere variante de realisation le systeme selon I'invention est 
destine a prouver 1' authenticity d'une entile appel6e demonstrateur h une 
entite appelee controleur, 

Ledit systeme est tel qu'il comporte un dispositif demonstrateur associe a 
I'entite demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d'interconnexion. n peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade, 
par exemple sous la forme d*un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme comporte aussi un dispositif controleur associe a I'entite 
controleur. Ledit dispositif controleur se presente notamment sous la fonne 
d'un tenninal ou d'un serveur distant Ledit dispositif controleur comporte 



des moyens de connexion pour le connecter electriqnement; 
electromagnetiquement, opi^quement ou de maniere aconstique, 
notamment via un reseau de communication informaldque, au dispositif 
demonstrateur ; 

Ledit systeme pemiet d'executer les etapes suivantes : 

® itzpe 1 : acte d'engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif t6moin comporte des . moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstratieury via.,^ les moyens^-. . d' interconnexion. Le dispositif 
demonstrateur comporte aussi. des moyens de transmission, ci-apres 
designes -les moyens^ de * t^ demonstrateur, pour transmettre 

tout ouvpaiiitie^ deiK©haque^ eng§^^ via les 

moyens de^onnexion*? * 

Le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re9u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R. Le diq)ositif 
controleur comporte aussi des moyens de transmission, ci-apres designes 
les moyens de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

d etape^S'*: acte dereponse-iD 
Les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du. dispositif demonsteateui, via les moyens 
d'intereonnexion, Les moyens de calcul des^tjeponses B du dispositif 
temoin, calculent les reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 




9 etape 4 : acte de comtrole 
Les moyens de transmission du demonstrateur trausinettent chaque 
reponse B au controleur. Le dispositif coniroleur comporte aussi : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur. 

Premier cas : le deiaonstrateiir a tramsmis ime partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du d6monstrateur ont transmis 

une partie de chaque engagement R, les moyens de calcul du dispositif 

controleur, disposant des m valeurs publiques Gi, Gj, ... G^, calculent a 

partir de chaque defi d et de chaque reponse D un engagement reconstruit 

R' satisfaisant a une relation du type : 

R» = Gi . Gj .. . G„ . mod m 

ou k ime relation du type, 

R» =D^/Gi * . G2 ... G^*^ . modn . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R legu. 
Deuideme cas : le demonstrateur a transmis I'inlegralite de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
I'integrahte de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif contrdleur, disposant des m valeurs pubHques 
Gi, Gj, ... G^ v&ifient que chaque engagement R satisfeit k une relation 
du type : 

R= Gi G2 G^ mod n 

ou a une relation du type, 

R = / Gi Gj ... G„ . mod n . 



Cas de la preiave de FiBtegrite d'lm message. 
Dans ^me deuxieme variante de realisation susceptible, d'etre combin6e 
avec la pramtre, le systeme selon rinvention-est destim^ a prouver h une 
entite appelee controleur Tintegrite d'un message M ass®ci€ a una entite 
appelee demonstrateuiF. Ledit systeme est tel .qu'il comporte un dispositif 
demonstrateur associe a I'entite demonstrateur. Ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d'interconnexion. Ledit dispositif demonstrateur peut se presenter 
notamment sous la fonne de microcircuits logiques dans iin objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit systeme comporte aussi dispositif contrdleur associ6 
a I'entite controleuEi Ledit disposMf^controieuT' se ^pres^te - notamment 
sous la forme d'lm terminal ou d'un serveur distant. Ledit dispositif 
controleur comporte des moyens . de comiexion pour . le connecter 
eiectriqujement; elei&toomagnetiquement',*.- optiq ou » de maniere 

acoustiquej notamment via un ceseau de ©ommimication^informatique, au 
dispositi#demonst^teur..t 
Ledit systeme execute les etapes suivantes : 

a ^tape 1 : acte d' engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifi6 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transoiiettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• Stape 2 : acte de defi d 
Le dispQsitifVd^Hipnstr^iteuT'^comporte' des ^moyens- .de calf^ ci-aprds 
designes les moyens de calcul du d&nonstrateur, appliquant une fonction 
de hachage li ayant corome arguments le message M et tout ou partie de 




chaque engagement R, pour calculer au moms un jeton T. Le disposMf 
^emonstrateur comporte aussi des moyens de transmission, ci-aprds 
designes les moyens de transmission du dispositif demonstrateur, pour 
transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur. Le dispositif controleur ..comporte aussi des moyens de 
production de d^jfis pour produire, apres avoir regu le jeton T, des d^fis d 
en nombre egal au nombre d'engagements R. Le dispositif contrdleur 
comporte aussi des moyens de transmission, ci-apres d^ign^s les moyens 
de transmission du contr61eur, pour " transmettre les d^fis d au 
demonstrateur, via les moyens de connexion. 

9 etape 3 : acte de reponse D 
Les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
d6fi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcxil des r^ponses D du dispositif 
temoin, calculent les rdponses D a partir des defis d en appliquant le 
processus specijB^ ci-dessus. 

9 etape 4 : acte de comtrdle 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif contrSleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des mvaleurs publiques Gi, Gj, ... G„, pour d'une 
part, calculer a partir de chaque defi d et de chaque reponse © un 
engagement reconstruit R' satisifaisant k une relation du type : 

R» s Gi Gj ... G„ . mod a 
ou h une relation du type : 

R'. = Gi ""^ . Gj ... G„ . modm 
puis d'autre part, calculer en appliquant la fonction de hachage li ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R*, un jeton T'. 



Le dispositif contrSleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de compajaison du dispositif controleur, pour 
comparer le jeton calcule T' au jeton T fbgu-. 

Signs tiare^iaii'meriqiie d'lm message et preiave de §o3a»aiatlae2iiticite 
Dans une troisieme variante de realisation susceptible d'etre combinee 
avec Tune et/ou Tautre des deux premieres, le systeme selon Tinvention 
est destind a prouver la signature numerique d'un message ci-apres 
designe le message signe, par une entite appelee entite signataire. 
Le message sign6 comprend : 
-le message M, 

- les dejSs d et/ou les engagements R, 

. - les repsmsies*© 
OperaMomdeasig||a|pi5e > 

Ledit syst^e^est»4ekj^qu^il xomporte^^^^ disp^sitifc^sigEptaisKje associe a 
r entiteisignatakedLreiddt«(Ms 

temoin par ^desiim^jsens' d' interconnexion et peut se pres^temnotamment 

sous la forme d'lm microprocesseur dans une carte bancaife a 
microprocesseur. 

Ledit systeme pennet d'executer les etapes suivantes : 

® etape 1 : acte d'eBgagemesat R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processiis specific 
ci-dessias^ 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les mojsenS; de^^transmission du ? dispositif-temoin^-pour^transmettre 
tout ou i^astie de chaque-'engagement^R^u dispositif^signaJteire, via les - 
moyens d'interconnexion. 

® etape 2 : acte de defi d 



Le dispositif signataire comporte des moyens de calcul, ci-apres d6signes 
/ les moyens de calcul du dispositif signataire, appliquant una fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des d^fis d en nombre 6gal au nombre d'engagements R. 

e ^tape 3 : acte de repoiEse D 
Les moyens de reception des defis d du dispositif t6moin, .re9oivent chaque 
d6fi d provenant du dispositif signataire, via les moyens d' interconnexion. 
Les moyens de calcul des reponses D du dispositif t^oin, calculent les 
reponses B a partir des defis d en appliquant le processus sp6cifi6 ci- 
dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
d^signes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d*interconnexion. 
Operation de contrdle 

Pour prouver I'authenticit^ du message M, une entite appelee controleur, 
controle le message signe. 

Ledit systeme comporte \m dispositif contrSleur associ6 k I'entite 
contr61eur. Ledit dispositif controleur se presente notanmient sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
61ectromagn6tiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de conrniunication informatique, au dispositif 
signataire. 

Le dispositif signataire associ6 k I'entite signataire comporte des moyens 
de transmission, ci-aprds d6signes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif contrdleur, le message signe, via 
les moyens de cqnnexion. Ainsi, le dispositif contrSleur dispose d'un 
message sign6 comprenant : 



- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

Le dispositif contipoleur compoite : 

- des moyens de calcul, ci-apres .d6signes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le dispositif coiutrdleur. dispose des engagements R, des deHs d, 
des reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les*^- moyens de calcul et^de icomparaison du 
dispositif contrdleur verifient que les engagements R, les^defis d et les 
reponses D satisfoiit a des relations du type^ 

R = . G2 ^. G^.*" .W mod n 
ou a des relations du^^type : 

Puis, les moyens de calcxxl et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 
Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R^ satisfaisant a 
des relations du type : 

R' = Gi /Gj • • • -D^ mod n 
ou a des relations du type : 

R» = DVG,^^G2**^--o.G^'^. modn 



Puis, les moyens de calcul et de comparaison du dispositif contrSleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 
<» cas oil le disposMf ' comtroieiar dispose des emgagsments R et des 

repoases B 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
rdponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d» = h (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif contr61eur 
verifient que les engagements R, les defis d' et les r^ponses D, satisfont a 

des relations du type : 

R = Gi . "'^ ... G„ . mod n 

ou a des relations du type : 

Rs / Gi ^'^ . G2 "'^ ... G„ . mod n 
Dispositif Terminal 
L'invention conceme aussi un dispositif teraiinal associe a une entit6. Le 
dispositif terminal se presente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire h microprocesseur. Le 
dispositif terminal est destine a prouver a un dispositif contrdleur : 

- I'authenticit^ de I'entite et/ou 

- I'integrite d'lm message M associe k cette entite. 

Cette preuve est 6tabUe au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valours privees Qi, Q2, ... Qm et publiques G„ Gj, ... 
G„ (m etant superieur ou 6gal h. 1), 

- un module public n constitue par le produit de f facteurs premiers Pj, 
P2, . . . Pf (f etant superieur ou egal a 2), 

- un exposant public v . 
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Ledit module, ledit exposant et lesdites valeurs sont life par des relations 
du type : 

Gj . Qi'' = 1 • mod«.]ffl 0U Gi = Qi'' mod ja^ . 
Ledit exposaiat V est tel que 

v = 2^^ 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique G| est le carre %^ d'un nombre de base gj inferieur 
aux f facteurs premiers Pi, ..a Pf • Le nombre de base & est. tel que : 

les deux equations : 

x^ = gimodEi et x^ = -gmodii 
n'ont pas de solution en x dans Tanneau des entiers modulo m 
et tel que : 

Tequation^: 

a des solutions ;en x dansd^anneau des^^entiersamodula b , 

Ledit dispositif terminal^eompmnd-im . Adispositi^^temoin ^eomportant un e 

zone memoire contenant Ifes f facteurs premiCTS^Pi gt/ou les^s^parametres-des 

restes chinois des facteurs premiers et/ou le modxile public m et/ou les m 

valeurs privees Qj et/ou les tm composantes Qj, j (Qi, j = Qi mod pj) des 

valeurs privees Qjet Texposant public v . 

Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcxal des 
engagements R du dispositif temoin, pour calcxiler des engagements R dans 
I'anneau des entiersnmodulD n . 

Chaque engagement"est"ealGule : 

^ soit en effectaant des operations du type 

R^r^modn 



ou r est im alea produit par les moyens de production d'al6as, r 6tant tel 

.-'■que © < r< n, 

• soit en effectuant des operations du type 

ou r,est un al6a associ^ au nombre premier p, tel que 0 < Tj < Pj , chaque r, 
appartenant a une coUection d'aleas {rj , , ... r^} produits par les moyens 
de production d'al6as, puis en appHquant la m^thode des restes chinois. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-aprds d6sign^ les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers ci-apres appeles d6fis 616mentaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
r6ponses B du dispositif temoin, pour calculer a partir de chaque defi d une 
r^ponse D, 

• soit en effectuant des operations du type : 

D = r . Qi Q2 Qm »5Qod n 

• soit en effectuant des operations du type : 

puis en appliquant la methode des restes chinois. 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
U y a autant de reponses D que de defis d que d'engagements M. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de Tautlieiiticite d'lme emtite 
Dans une premidre variante de reaUsation le dispositif terminal selon 
I'invention est destine k prouver I'authenticite d'une entitd appel6e 
demonstrateur a une entite appelee contrdleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associe a I'entite demonstrateur, Ledit dispositif demonstrateur est 
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interconnect^ au dispositif temoin par des moyens d'interconnexion, B 
peut se presenter notamment sous la forme de microcircuits logiques dans 
HQ objet nomade par exemple sous la forme d'un microprocessjejir dans une 
carte bancaire a microprocesseur. 

Ledit dispositif demonstrateur comporte aussi des -moyens ^de-^eonnexion 
pour le connecter electriquement, electromagnetiquement, optiquement ou 
de manidie acoustique, notamment via un r6seau de communication 
informatique, au dispositif controleur associe a T entity contrSleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un temiinal ou 
d'lm serveur distant. 

Ledit dispositif terminal peraiet d'executer les etapes suivantes : 

® etape 1 : acte^^d'eBgagipmepil: R >^ 
A chaxpi^^p^l^ les^moyens ^de calcul des^iengagements^ «iu dispositif 
temoin caleulent chaque engagement R en^appliquantile processus specific 
ci-dessus. 

Le dispositif temoin compoi*e^ rdes * moyeias- de^^ ci-apres 
design6sdesimoyens de -transmssion d^ disp0sitHKtem©i%4>ouriPitransmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

9 Stapes 2 et 3 : acte de de£ d, aete de repoMse D 
Les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion* entre4e dispositif demonstrateur et le dispositif temoin; 
Les moyens de calcul des reponses D du dispositif temoin, caleulent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
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dessus. 

^ <s ©tape 4 : acte de controle 

Les moyens de transmission du. demonstrateur transmettent chaque 
reponse B au dispositif controleur qui precede au controle. 

Cas de la preuve de risitegrite d'um message 
Dans une deuxi^me variante de realisation susceptible d'etre combin6e h la 
premiere, le dispositif terminal selon I'invention est destine h prouver a une 
entity appel6e contrdleur rintegrit6 d'un message M associ^ i une entit6 
appelee ddmonstrateur. Ledit dispositif tenninal est tel qu'il comporte un 
dispositif demonstrateur associe a l'entit6 d&nonstrateur, ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d'interconnexion. D peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, 61ectromagn6tiquement, optiquement ou de 
manidre acoustique, notamment via un r6seau de communication 
informatique, au dispositif contrSleur associe k I'entite contrSleur. Ledit 
dispositif controleur se presente notamment sous la foraie d'un teraiinal ou 
d'lm serveur distant. 

Ledit dispositif tenninal permet d'executer les Stapes suivantes : 

« etape 1 : acte d' engagement R 
A chaque ^pel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appUquant le processus sp^cifie 
ci-dessus Le dispositif temoin comporte des moyens de transmission, d- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

® etapes 2 et 3 : acte de defi d, acte de repomse 13 




Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstratgir, appliquaat ime fonctioB 
de hachage la ayant comme arguments^ le message.M et tout ou partie de 
chaque engagement pour calculer^au .moins un jeton T. ^Le ^^disppsitif 
demonstrateur comporte aussi des moyens de transmdssion, ci-apres 
designes les moyens de transmission du dispositif demonstrateur, pour 
transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur. 

Ledit dispositif controleur produit, apres avoir re^u le jeton T, des defis d 
en nombre egal au nombre d'engagements R. 

Les moyens de reception des d^fis d du dispositif temoin, re?oivent chaque 
defi d provenant du. .dispQsitif contrdleur: via les iipoyens 4e connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'intereonnexion entee le dispositif demonstrateur et le dispositif temoin. 
Les moyens^de calcul* des^^eponses«iD Ju^disp^sitif temoi^^^ les 
reponses -^ a partir des -defis^^d en v^pliquant ie processus- vspecifie ci- 
dessus;^* 

o etape 4 : acte de coiatrdle ^ 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controleur qui procede au controle. 

Signatare muiBeriquae d'lm message et preuve de son aBthenticite 
Dans xme troisieme variante de realisation susceptible d'etre combinee 
avec Tune ou Tautre des deux premieres, le dispositif terminal selon 
rinvention est destine a produire la signature numerique d'un message M, 
ci-apres designe le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message 

- les defis d et/ou les engagements R, 

- les reponses B. 



Ledit dispositif termmal est tel qu'il comporte vth dispositif signataire 
associeal'entitesignataire. Ledit dispositif signataire est iiiterco2mect6 au 
dispositif temoin par des moyens d'intercoimexion. H peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par example sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion poiir le connecter aectriquement, 61ectromagnetiquement, 
optiquement ou de mani^ acoustique, notamment via uii. reseau de 
communication infonnatique, au dispositif controleur associ6 h. Fentit^ 
controleur. Ledit dispositif controleur se pr^sente notamment sous la forme 
d'un terminal ou d'un serveur distant. 
Operation de signature 

Ledit dispositif terminal pennet d'executer les etapes suivantes : 

o ^tape 1 : acta d'engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, d- 
apTbs d^sign^s les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

<» etape 2 : acte de d^S d 
Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train bmaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R. 

® etape 3 : acte de reponse B 
Les moyens de reception des defis d du dispositif temoin re?oivent chaque 
defi d provenant du dispositif signataire, via les moyens d'interconnexion. 




Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses © a paitir des defis d en appliquant le processus specifie d- 
dessus. Le disposMf temom eomporte des naoyeiis«de .transii!^ ci-apres 
d^signesies moyens de transmission du disposi1if;lem©in;vpoii^ transmettre 
les reponses D au4ispositif signataire, via les moyens d'interGonnexion. 

Dispositif coHStroIeiar 
L'invention conceme aussi un dispositif controleur. Le dispositif 
controlexir peut se presenter notamment. sous la foime d'un terminal ou 
d'lm serveur distant associe a une entite controleur. Le dispositif 
controleur est destine a controler : 

- Tauthenticite d'une entite et/ou 

- rint^^iij^^ d'un messtgi^ associe a-cette^enl^e, ; ■ 

Cette preu^efe^est etablie^^au«^moyen - de tout*^ ou^.pai*ie«^?des% parametres 
suivantseoiFderwes de sceux-ei: n 

- m^osiples;der^aleiiiES?^^ ou 
egalaL), 

- immodule^ubHe m conslstee par4e procWfede^ff faeteurs prem pj, 
Pz? ••• Pf (f etant superieur ou egal a 2) mconnus du dispositifxontroleiu: et 
de Tentite controleur associ6, 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gj. Qi"" = 1 . 3Bod M ou Gj = Qi^mod n ; 
ou Qi designe une valeur privee, inconnue du dispositif controleur, 
associ^e a la valeur publique Gj . 
L' exposant v est-tel que 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique est le carre d'un nombre de base ^ inferieur 



aux f facteurs premiers Pi, p2s - . Pf • Le nombre de base gj est tel que : 

les deux Equations : _y 
= gj mod m et x^ = -gimod!i 
n'ont pas de solution eti x dans I'anneau des entiers modulo m 
et tel que : 

I'equation : 

= ^ mod n 

a des solutions en x dans I'anneau des entiers modulo n . 

Cas de la preiave de raathejiticit^ d'lme entity 
Dans une premiere variante de realisation le dispositif controleur selon 
I'invention est destine a prouver I'authenticite d'une entite appelee 
demonstrateur k une entite appelee controleur. 

Ledit dispositif contrSleur comporte des moyens de connexion pour le 
connecter dectriquement, aectromagn^tiquement, optiquement ou de 
maniere acoustique, nojamment via un r6seau de communication 
infonnatique, a un dispositif demonstirateur associee a l*entite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

9 etapes 1 et 2 : acte d' engagement R, acte de deS d 
Ledit dispositif conti-oleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des moyens de production de defis pour 
produire, aprds avoir re?u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R, chaque d6fi d 
comportant m entiers dj ci-apres appeles defis elementaires. 
Le dispositif controleur comporte aussi des moyens de ti^mission, ci- 
apres designes les moyens de transmission du contrdleur, pour transmettire 
les d^fis d au demonstrateur, via les moyens de connexion. 
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® etapes 3 et 4 : Ecte de repoBse D, acte de coiatrSle 
Ledit dispositif controleur comporte aussi : ^ 

- des moyens de reception des r^ponses P provenant du -dispositif 
demonstrateur, via les moyens de connexion 

- des moyens de calcul, ci-apres .designes les moyens de ealeiol du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a trammis ime partie de chaqiie 
engagement R 

Dans le cas ou les moyens de reception du dispositif contrSleur ont refus 
ime partie de chaque engagement R^ J.es moyens /de ^ealcul du*^^^^ 
controleur, disposant des -m valeurs publiques G^^ Gj, ... G^, calculent a 
partir de ehaque defi d et de chaque^reponse D un engagement reeonstruit 
satisfaisant a une^relation du 

R's Gi . ^.^••G^ .^D^mod^n • 
ou a ime relation du type, 

W^W IG^^^ .G^^..^^GJ^. mod la , 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reeonstruit R' a tout ou partie de chaque engagement R regu, 
De^eme cas : le demonstorateiar a transmis I'mt^gralite de cliaqne 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont re9us 
rintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif contrSleur, disposant des m valeurs publiques 
Gi, Gj, G^, verifient que chaque engagement R satisfait a une relation 
du type : 

R= Gi . Gj ^. o.o G^ . mod n 
ou a xme relation du type. 



RsW/G^ . G2 ... G„, *" . mod u . 

Cas de la preuve de I'isstegrit^ d*mi message 
Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le dispositif controleur selon Tinvention est destine k 
prouver l'integrit6 d'un message M associe a une entite appelee 
d^onstrateur. 

Ledit dispositif contrSleur comporte des moyens de connexion pour le 
connecter electriquement, 61ectromagn6tiquenient, optiquement ou de 
manidre acoustique, notamment via un r&eau de communication 
infomiatique, k im dispositif demonstrateur associ6e k Tentit^ 
demonstrateur. 

Ledit dispositif controleur pennet d'executer les etapes suivantes : 

9 etapes let 2: acte d'emgagement R, acte de defi d 
Ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du dispositif demonstrateur, via les moyens de 
connexion. Le dispositif contrSleur comporte des moyens de production 
de d6fis pour produire, apres avoir re^u le jeton T, des d^fis d en nombre 
egal au nombre d'engagements R, chaque d6fi d comportant m entiers dj 
ci-apres appeles defis el6mentaires. Le dispositif contr61eur comporte aussi 
des moyens de transmission, ci-apres designes les moyens de transmission 
du controleur, pour transmettre les defis d au demonstrateur, via les moyens 

de connexion. 

« Stapes 3 et 4 : acte de reponse D, acte de controle 
Ledit dispositif contrdleur comporte des moyens de r6ception des reponses 
D provenant du dispositif demonstrateur, via les moyens de connexion. 
Ledit dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs pubUques G^, G^, ... G„, pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse B un engagement reconstruit R' 



satisfaisant a une relation du type : 

R' = Gi G2 • • o . mod a 
ou a line relation du type : 

= m/ Gj G2 ^. . . . G^ • mod m 
puis d'autre^ait^ calculer en appldquant une fbnetion de hachage la ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T'. 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres d^signes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcul6 au jeton T refu. 

SigiiatiBire mum^riqiae d'lm message et preiive de som amthenticite 

Dansr une trdsieme Yai«iantje de reaifeaition sus©^ia!^^ d'etife^ combin^e 
avec i'lme et^u I'axitre des deux prejm dispositifkcontroleur selon 

r invention ..est destini a 4)rouver Fauthentidtef^^^diuii^^^m^ en 
controlairtj^^par une^:entdt!^appj|l!l^pmts^ 

Le messag^signe, 4ams^ar^4m^,^^ a une ^entite 

signataLre disp^sant^d-^ufie^ fonetiom de hac^k^ ^messagepR)^ eomprend: 

- le message 

- des defis d et/ou des engagements R, 

- des r6ponses D ; 
Operation de contrdle 

Ledit dispositif controleiu* comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via im reseau de co mmuni cation 
informatique, a un dispositif signataire associ^e a Tentite signataire. Ledit 
dispositif contr61euc.re?oit le message siga6 du dispositif signataire, via les 
moyens de connexionr 
Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
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dispositif controleur, 

- ' - des moyens de comparaison, ci-aprds designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le dispositif cciratrdleiiir dispose des emgagemeaits M, des defis d, 
des r^ponses B, 

Dans le cas oil le dispositif contr61eur dispose des engagements K, des 
d^fis d, des r^ponses D, les moyens de calcul et de comparaison du 
dispositif controleur v6iifient que les engagements K, les defis d et les 
reponses D satisfont h des relations, du type 

R s G, G2 ... G„ . mod n 
ou k des relations du type : 

R= W/Gi . G2 ... G„ *" . laiod b 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les d6fis d et les engagements R satisfont a la 
fonction de hachage : 

d = h (message, R) 

• cas oil le dispositif contr61eur dispose des defis d et des rlpomses B 
Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif contrdleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 

des relations du type : 

R' = Gi " . Gj . . . G„ . mod n 

ou h des relations du type : 

R' sD^/ Gi . Gj ^, ... G„*" . mod n 
puis, les moyens de calcul et de comparaison du dispositif contrSleur 
verifient que le message M et les defis d satisfont k la fonction de hachage 

d = h (message, R') 

• cas oil le dispositif coiatrdlemr dispose des emgagemsaiits R et des 
ripomses B 
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Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses les moyens de calcul du dispositif controleiir appliquent la 
fbnction de hacliagef©t caleulent d' tel que 

d' = h (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements E, les defis d' et les reponses satisfont a 
des relations du type : 

R = . G2 ^'^ ..o . IT mod n 

ou a des relations du type : 

R = DVG/'^G/^.-G„,^'"*- modn 



Rappelons I'objectif de la technoloiie GQ : I'authentification dynamique 
d'entites et de messages associes, . ainsi que la signature niunerique de 
messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une Equivalence, loin s'en faut, comme le d^montrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
num6rique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de I'invention porte 
plus precisement sur r..t^ii..tinn des iaix de cles GQ2 dans le cadre de 
I'authentification dynamique et de la signature num6rique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, am6Uorer les performances par rapport a la technologie RSA ; d'autre 
part, Eviter les probltoies inh^rents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module n : U y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui controle. GrSce k un 
meUleur usage du probleme de la factorisation, tant en s6curit6 qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 . utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m ^ 1) appeles « nombres de 
base » et notes par g, Les nombres de base etant fix6s de a g„ avec m > 1 , 
une c\i pubUque de verification <v, n) est choisie de la maniere suivante. 
L'exposant pubUc de verification v est 2* oil k est un petit nombre entier 
plus grand que 1 (k > 2). Le module public n est le produit d'au moins deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers (f ^ 2) notes parp, 6^P,.^-Pr Les/facteurs premiers sont choisis 



de fapon h ce que le module public n ait les proprietes suivantes pax rapport 
h chacun des m nombres de base de g-, g„. 

. D'une part, les Equations (1) et. (2) n'ont pas de?spl\?doii en x dans 
raimeau des entiers modulo «, c'est-^-dire que et ^5p.sont deux residus 
nomi^qu^dEatiques^uiod'n)- 

x^=gi (mod n) (1) 
= -gi (mod n) (2). 
- D'autre part, I'equation (3) a des solutions en x dans I'anneau des entiers 
modulo n. 

x^" = gf (mod n) (3) 
La cl^ publique de verification <v, n) 6tant fixee selon les nombres de base 
de a ^^ •avee'W 1, chaque nombre de base^g, detcimiiie**un couple de 
valeurs GQ2 comprenant une valeur publique G, et une valeur priv6e Q, : 
soit m couples not^s^de^^, Q, a G^^JLa valeui^ublique^i?^1^'le.ea^ du 
nombre de base^ :.,soi4s^^ = g^, La valeur priv^e @, est une des solutions a 
I'equation (3> ou biem rinverse.(mod ») d'une telle solution. • 
De m&ne que -le module n se deeompose en /fadteurs premiers, I'anneau 
des entiers- modulo n se -decompose *en-/ corps de Galois?, de CG(p,) h 
CG(p). Void les projections des equations (1), (2) et (3) dans CG(p). 
x^^gi (mod pj) (1-a) 
x^=-gi (mod Pj) (2.a) 
x^' ^gf (mod pj) (3.a) 
Chaque valeur privee Q, pent se representor de mani^ unique par/ 
composantes privees, une par facteur premier: Q,^ = Q, (modp). Chaque 
composante privee est une solution I'equation (3.a) ou bien I'inverse 
\modp) d'une telle solution. Apres que toutes les solutions possibles a 
chaque equa#on-;P.a) aien$ •a6':fal(5#ees9*la tpehniqsafs^es restes-ehinois 
permet d'^ablir toutes les valeurs possibles pour chaque valeur priv6e Q, a 
partir de/ composantes de Q,, kQ^:Qt = Restes Chinois (Q,,, Qi) 
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de mamere k obtenir toutes les solutions possibles a I'^quation (3). 
Void la technique des restes chinois: soient deux nombres entiers positife 
premiers entre eux a et tels que 0 < < et deux composantes de 0 a 
a-1 et X,dQOhb-l; il s'agit de determiner X= Restes Chinois (X„, JQ, 
c'est-i-dire, le nombre unique X de 0 a a.^-1 tel que X^^X(moda) et 
X,^X(m.o6 b). Voici le paramdtre des restes chinois : a = {b (mod a)}"' 
(mod a). Voici I'op&ation des restes chinois : e h X, (mod a);B = X-e ; si 
5 est n6gatif, remplacer 5 par.5+a ; 7 = « • 5 (mod d);X=y. b -^ X,. 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit p, au plus grand les paramtoes des restes chinois peuvent dtre les 
suivants (il y en a /-I, c»est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a s (p, (modi?,)}"' (mod/^,). Le 
second parametre des restes chinois est P = (j^odp,))'' {modp^y Le i 
ieme parametre des restes chinois est^s {pyPr -Pu-^ (mod/?,)}"' (modi?,). 
Et ainsi de suite. Ensuite, en/-l op^tions des restes chinois, on etabUt un 
premier r^sultat {modp, fois;7.) avec le premier parametre, puis, un second 
r^sultat imodp,.p, fois a) avec le second parametre, et ainsi de suite, 
jusqu'^ un r&ultat (mod/7.. ,..Pj_, ^oisp), c'est-i-dire, (mod «). 
II y a plusieurs representations possibles de la cl6 priv^e GQ2, ce qui tradmt 
le polymorpMsme de U cle privie GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes k la connaissance de la 
factorisation du module n qui est la veritable cie priv6e GQ2. SUa 
.^e^i^^on a fr.rt. l^^en le com porteni ent de Ten tite qui signe ou qui 
c>.nth^tifie. el l.- n'.fft.rtP. le romporteme m de T entite qui contrSle. 
Voici les trois principales representations possibles de la cl6 privee GQ2. 
nr. r ^rP^entation rln-^r" ^ ♦^^^"^"^e GO ^onsiste a stocker m 
valeurs privees et la cl6 publique de verification <v, n) ; en techiiologie 
GQ2, cette representation est concurrence par les deux suivantes. 2) La 
.^rLnt.tion QotiiT-^^ ^ t.rm.s; de charges de travail consiste k stocker 
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I'exposant public v, les/facteurs premiers Pj, m/composantes privees et 
f-l paramdtres des restes chinois. 3V La repres entation optimale en termes 
de taille de cle privee consisted stocker I'exposant public v, les m nombres 
de base g, et les/facteurs premiers-^^ puis, a commencenehaque utilisation 
en etablissant ou bien m valeurs privees- et le module n pour se ramener a 
la premiere representation, ou bien m.f composantes privees et f-\ 
param^tres des restes chinois pour se ramener k la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les m6mes 
nombres de base ; sauf contre indication, les m nombres de base de a g„ 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la s6curit6 du mecanisme d'authentification dynamique ou de 
signature *numerique -iquivaut <i la connaissance d'line "decfeM^Osition du 
module, la technologie GQ2 ne permet-pas de distinguer isimplement deux 
entites utildsant lemmeme ^modulesv'x.Generalement,-i chaque^ entite qui 
s'authenti*fie«!Ou sipie:*disposeiide«son*pr0pi:;e*^module GQ2. Toutefois, on 
peut specifier des modules GQ2ya quatre facteursKpremiers dont deux sont 
connus d'une entit^'et les ieux«aufees*di?une autre^- , 
Voici un premier jeu de cl6s GQ2 avec * = 6, soit^v = 64, ws - 3, soit trois 
nombres de base : ^, = 3, g^, = 5 et g^, = 7, et/= 3, soit un module a trois 
facteurs premiers : deux congrus ^ 3 (mod 4) et un a 5 (mod 8). Notons que 
g = 2 est incompatible avec un facteur premier congru h. 5 (mod 8). 

= 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 
p^ = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 
p^ = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 
» -P^'Py^ FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 
02CC00EAFEE1B?57F3BDC49BE9GBD4D94467B72/^28GFBB26144 

CDF4B^PBA^(:f7f73Bi^OCSB®©l'8f®«53!^^ 
0 = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 
, = 7C977FC3 8F8413 A284E9CE4EDEF4AEF35BF7793B89 
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Q, , = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
q'^ = 0;88EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
g|^='^4792CE70284D16E9A158C688A7B3FEAF9C40056469E 
Q^^ = FDC4A8E53E18SA4BA793E93BEE5C636DA731BDCA4E 
= 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
= 0AE8551E1 16A3AC089566DFDB3AE003CF174FC4E4877 
a = 01682D490041913A4EA5B80D16B685E4A6DD88070501 
e] = D7ElCAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE67353A5BC3 16C093 

03 = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 
AD9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 

697238537FE7A0195C5E8373EB74D 

Voici im second jeu de cles GQ2, avec A = 9, soit v = 512, ^ = 2, soit deux 
nombres de base : ^. = 2 et = 3, et/= 3, soit un module trois facteurs 

premiers congrus k 3 (mod 4). 

= 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

p[ = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
p] = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 
n=P, .p,.p^ = FFFF5401ECD9E537F167A80COA91 1 1986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 

761B276A8E6B6977A21D51669D039F1D7 

, = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
^\ = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
q', = 02DOB4CC95A2DD435DOE22BFBB29C59418306F6CDOOA 
= 045ECB881387582E7C556887784D2671CA118E22FCF2 
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= B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
Q^^ = 0AB9F81DF^62F58A52D937fi6D81F48FFA4A87A9935AB 
er=27F7B9FG82Cr9ACAE47F3FE9560G3536A7.E»8€3C51E13C 
35F32FD8@6823DF753685DP63S55'B2146ECDB9B28©43^7§27PD6 

EDDA092D0eF108E»0AB708405DA46 

= 230DOB9595E5AD388FlF447A69918905EBFB05910582E5iBA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 

Fl IFl 9.874DE7DC5D1DF2A9252D 
AuthentMcatioii dynamique 

Le m6canisme d'authentification dynamique est destine h prouver h una 
entity appel6e contrSleer I'authenticit^ d'une autre entite appel^e 
d^momsfeatemr^ainsi que I'authemtieite^id'im €ymmBl message. ^associe M, 
de sorte que le contrdleur s'assure qu'U s'agit;.bien. du^d^mqmstrateur et 
eventueUement que lui^et le demonstpateur parlent bien^dufEnaiae-siessage 
M. Le messaggjassQeieJlf est.optiGiuiel,.Qe qui signifie qu^ peut €tre vide. 
Le mecamsme d'au&entificsation'^.dynamique est une sequence de quatre 
actes J un acte d'e&gagepentfim acte de defi^ un acte de Fep©nse et un acte 
de contrdle. Le d&nonstrateur joue les actes d'engagement-et de reponse. 
Le contrdleur joue les actes de d6fi et de controle. 

An seim dra dimonstrateuur, om pewt isoler um timoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du d6monstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon I'une des trois representations evoquees ci-dessus : « les/ 
facteurs premiers et les m nombres de base, • les m/composantes privees, 
les/facteurs premiers et/-l parametres des testes chinois, « les m valeurs 
privees et le module n. 

Le temoin peut correspondre k une reaHsation particuUdre, par exemple, 
« une carte a puce reU6e k un PC formant ensemble le demonstrateur, ou 



encore, <» des programmes particulierement prot6g6s au sein d'un PC, ou 
encore, « des programmes particulierement proteges au sein d'une carte k 
puce. Le temoin dii isol^ esf^emblable au t^oin defini ci-apres au sein 
du signataire. A chaque execution du m^canisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de d^fis d. 
Chaque ensemble {R, d, D) constitue un triplet GQ2. 
Outre qu'U comprend le t&noin, le demonstrateur dispose 6galement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le conti^leur dispose du module n et des parametres ^ et m ; le cas echeant, 
il dispose ^galement de la m&ne fonction de hachage et d'un message M\ 
Le controleur est apte k reconstituer un engagement R ' k partir de n'importe 
quel defi d et de n'importe quelle r^ponse D, Les paramdtres A: et m 
renseignent le controleur. Faute d'indication contraire, les m nombres de 
base de g, a g„ sont les m premiers nombres premiers. Chaque defi d doit 
comporter m defis elementaires notes de ^. a un par nombre de base. 
Chaque defi a^mentaire de d, k d„ doit prendre une valeur de 0 a I'^'-l (les 
valeurs de v/2 k v-1 ne sont pas utilis6es). Typiquement, chaque defi est 
code par m fois k-\ bits (et non pas m fois k bits). Par exemple, avec = 6 
et m = 3 et les nombres de base 3, 5 et 7, chaque d6fi comporte 15 bits 
transmis sur deux octets ; avec = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les {Jc-V).m 
defis possibles sont egalement probables, la valeur (k-\).m determine la 
security apportee par chaque triplet GQ2 : un imposteur qui, par ddfinition, 
ne comiait pas la factorisation du module n a exactement une chance de 
succes sur 2^"'^. Lorsque (it-l)./» vaut de 15 a 20, un triplet suffit k assurer 
raisomiablement I'authentification dynamique. Pour attemdre n'importe 
quel niveau de security, on pent produire des triplets en parallele ; on pent 
egalement en produire en sequence, c'est-a-dire, rep^er l'ex6cution du 
m^canisme. 
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1) L'acte d'efflgageasaeM comprend les operations suivantes. 

Lorsque le t&noin dispose des m valeurs privees de Q, a Q„ et da module n, 

il tire au hasard et en prive im ou plusieurs aleas r (0 <: r~ < n) ; puis, par k 

elevations successives (mod «), il transforme chaqm al^ r en un 

aigagementiS. 

R^r^ (modn) 

Voici im exemple avec le premier jeu de cl6s avec k=6. 

r = B8AD426C1AC0165E94B894AC2437C1B1797EF562CFA53A4AF8 

43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 

919967C3E2FB4B4566088E 

R = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
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Lorsque le »t6is®in^>disji©se«d^i!f fa^eiias*«preiniei?s»de^,%a ^^. et 4ss^m.f 
composantes privees*e^,^ il itire^sauwh^ard et en,xpri¥^-une>.ou plusieurs 
collections de ./ al6as»&i<?chaqwf teolleetion comporte-^un^^'r^F, par fadteur 
premier (0 < r< p) ; puis9«par*jt ^lem^ionsitsueeessiweswameaisii^^inod/?^, 
il transforme chaque alea r, en ime composante d'eaigagement 

Rf^ry (mod Pi) 

Voici un exemple avec le second jeu de cl^s avec k=9. 
r. = B0418EABEBADF0553A28903F74472CD49EE8C82D86 
R^ = 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 
r, = 75A8DA8FE0E60BD55D28A218E3 1347732339F1D667 

= 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 
r, = 0D74D2BDA5302CF8BE2F6D406249D148C6960A7D27 
R^ = 06E14C8FG4DD3 12BA3B475F1F40CF01AGE2A88D5BB3C 
Pour cllaq^e e.©E€'©%)n-#3icompj©,santes.d*engag!i^^ temoin etablit un, 
engagement selon la tecbnique des restes chinois. fl y a autant 
d'engagements quelle collections d'al6as. 
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R = Restes Chinois(i2„ i?2> • • • ^) 
R = 28AA7F12259BFBA81368EB4gC93EEAB3F3EC6BF73B0EBD7 

D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C3458D1E37C9 
9123B56446F6C928736B17B4BA4A529 

Dans les deux cas, le demonstrateur transmet au contrdleur tout ou partie de 
chaque engagement R, ou bien, un code de hachage M obtenu en hachant 
chaque engagement if et un message M. 

2) L'acte de d^lS consiste ^ tirer au hasard un ou plusieurs defis d 
compost chacun de m defis 616mentaires </, d, ... d„; chaque defi 
elementaire d, prend I'une des valeurs de 0 ^ v/2-1. 

d=d^d^...d^ 

Voici un exemple pour le premier jeu de cl6s avec Ar= 6 et m = 3. 

J,= 10110 = 22= '16' ;i/, = 00111 =7 ;i/3 = 00010 = 2, 

i=0 I U. I UJ I t/3 = 01011000 11 100010 = 58 E2 
Voici un exemple pour le second jeu de cles avec A: = 9 et m = 2. 

J ^ J I = 58 E2 = soit en decimal, 88 et 226 
Le contrdleur transmet au demonstrateur chaque d6fi d. 

3) L'acte dc r^pomse comporte les operations suivantes. 

Lorsque le temoin dispose des m valeurs privies de Q, k Q„ et du module 
il calcule une ou plusieurs r6ponses D en utilisant chaque alea r de l'acte 
d'engagement et les valeurs privies selon les defis elementaires. 

X^Qt.Qi'-.Qi"' (modn) 
D = r.X (modn) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69b85FE8EF6480 

A2C6A29027347£^FEC9171990A17 

Lorsque le temoin dispose des / fecteurs premiers de p, h p, et des m,f 
composantes privies il calcule une ou plusieurs coUections de / 



composantes de reponse en utilisant chaque collection d'al6as de I'acte 
d'engagement : chaque collection de composantes de reponse comporte xme 
composante par factgur premier. 

Di^rtJCi {modi Pi) 
Voici un exemple pour le second jeu de cl6s. 
D. = r, . e,," • a." (mod/..) = 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 
A = • e./ • a/ (mod/7,) = 

04C15028E5FD1 175724376C1 1BE77052205F7C62AE3B 

0903D20D0C30.6eaEDA9D8FB5B3SEB55E061AB39CCF52 
Pourschaquefeeolleetion de composantes«de..repQnse-,^le temoin aablit mie 
r6ponse<selontla^hniq!ae«desMestess©hm©iswIl y a a}i1pn!yie»iiep©.nses que 

de d6fis. 

D = Restes ChiSi0is(D„ DJ . . . D)^ , 
D = 85C3BO0296426E97897F73C7DC634 1-FB8FFE6E8jZ9AE12EF1F36 
4CBB55BG44©EG4372O8^F53OF840iBD9G511F5m3®S*A3O9257AOO 

195A7305C6FF3323F72DC1AB 

Dans les deiix cas, le d6monstrateur ttansmet chaque reponse D au 
contrSleur. 

4) L'actc de control© consiste i contrSler que chaque triplet {J?, d, D} 
verifie une equation du type suivant pour une valeur non nuUe. 

ij.^Gf' =^^* (mod n) oubien R = B^ ^^f' (niod «) 
1=1 '-^ 
ou bien, k retablir chaque engagement : aucun ne doit etre nul.^. 

D^' iff Gf' {mod n) oubien R^D^ -^Gf^-{mod n) 

i=l i=l 

Eventuellement, le contrdleur calcule ensuite un code de hachage H' en 
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hachant chaque engagement r6tabU /? ' et un message M'. L'authentification 
dynamique est reussie loreque le contrdleur retrouve ainsi ce qu'il a re9u a 
Tissue de I'acte d'engagement, c'est-^-dire, tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sequence d'operations a^mentaires transforme la rdponse 
D en un engagement R'. La sequence comprend k carres (mod n) s6par6s 
par k-\ divisions ou multiplications (mod n) par des nombres de base. Pour 
la / ieme division ou muWpUcation, qui s'effectue entre le / i^me carr6 et le 
z+l idme carr^, le / ieme bit du d6fi 61ementaire indique s'il faut utiUser 
g„ le i xbms bit du d6fi elementaire indique s'il faut utiliser g^, ... 
jusqu'au / ifeme bit du defi 616mentaire d„ qui indique s'il faut utiliser g„. 
Voici un exemple pour le premier jeu de cl6s. 

D' (mod n) = FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 
2B93948715491FOEB091B7606CA1E744E0688367D7BB998F7B73D5F7 

FDA95D5BD6347DC8B978CA217733 

3 . (mod n) = F739B70891 1 166DFE715800D8A9D78FC3F332FF622D 
3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 

987041B4852890D83FC6B48D3EF6A9DF 

3^ . D' (mod/i) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF 

8826635790743EA7D9A15A33ACC7491D4A7 

3^ . £)' (mod n) = BE9D828989A2C184E34BA8FE0F384811642B7B548F 
870699E7869F8ED851FC3DB3830B2400C516511AOC28AFDD210EC3 

939E69D413F0BABC6DEC441974B1A291 

3' . 5 . D' (mod n) = 2B40122E225CD858B26D27B768632923F2BBE5 

DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 

4AC1E89C2235C363830EBF4DB42CEA3DA98CFE00 

3'" . 5^ . D'' (mod n) = BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397DD 



B8F6526B671421 8DEB627E1 1FACA4B9DB268 

3" . 5' . 7 . (mod «) = DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13DQ2AB0EA5F8C8DDB5025E3428231.1CEF80BACDCE5D0C433444 

A2AF2B15318C36FE2AE02F3G8OB26637C9AD712F 

3"" . 5* . 7' . D'' (mod /i) = C60CA9e4Al 1F8AA89D9242CEWE3DC6C1 

A95D5DO9A2278F8FEE1DFD94EE84D09D00OEA8633B53C4A0E7F0A 

EECB70509667A3CB052029C94EDF276 1 1FAE286A7 

3=" . 5' . 7'. D'' (mod«) = DE40CB6B41C01E722E4F312AE7205F18CDD 

0303EA52261CBOEA9FOC7EOCD5EC53D42E5CB645B6BB1A3B0OC77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

3'" . 5" . 7* . Z)** (mod /i), c'est-i-dire, 3^'' . 5^ . T . 0"° (mod n) avec les 

exposants en hexa = FFOD736B666F41FB771776D9D§0DB7GDF03F3D9 

7647^1B25G56D3AF0.7B1692CBlFE4EE70FA77032BieE)8441B813B4C 

2 12 i0(»@4'49©C4291'ltD©2Bl>®t®8®8«1^8^^ h 

On retrouve bien I'engagement ^.^L'aultoeiati-fication est r^ussie^ 

Voici un example poiaT'le second jeu de gJ6s. ' 

D' (modm) = C66®585D8F432F7067617BC6DG0BA699A©.B74FB9D13E 
24E6A6692CC8D2FC7B57352D66B34F-5273C13F20E3FAA228D70AEC 
693F8395ACEF9206B 172A8A2C2CCBB 

3 . D' (mod n) = 534C61 14D385C3E15355233C5B00D09C2490D1B8D8E 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 

1D6D138F3999FC1D06A2B2647D48283 

3' . D* (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C4231AC9B1EBD93D5D49422408E47 

1591 9023B 1 6BC3 C6C46A92BBD3 26AADF 

2.3\D' (mod n) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 

3F2BA4C12BOA8496A0148B4DEBAFE838EOB5A7D9F1^^4379D72A 

107E45C51FCDB7462D03A35002D29823A2BB5 

2' . 3' . £>" (mod «) = 4C210F96FF6C77541910623B1E49533206DFB9E91 
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6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1AOD5A721A1890D03AOOBD8 

2\3\ D' (mod «) = E4632EC4FE4565FC4B3126B15ADBF996149F2D 

BB42F65D911D3851910FE7EA53DAEA7EE7BA8FE9D081DB78B249 

BIB 1 888061 6B90D4E280F564E49B270AE02388 

2* 3" . (mod n) = ED3DDC716AE3D1EA74C5AF935DE814BCC 

2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C17C399607DEA54E218C2C01A890D422EDA16FA3 

2* . 3" . (mod «) = DA7C64E0E8EDBE9CF823B71AB13F17E1 161487 

6B000FBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562D0F5 

7AE94AE0AD3F35C61CO892F4C91DCOB08ED6F 

2'° . 3^' . (mod n) = 6ED6AFC5A87D2DD117B0D89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D 

722F17DA30088E6E739FBC419FD7282D16CD6542 

2" . 3" . 2^' (mod «) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB1ECB6D432CFCC40FA95B77464003A705146A0D364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

2» . s*' . Z>" (mod «) = A466DOCB17614EFD961000BD9EABF4F021 

36F8307101882BC1764DBAACB715EFBF5D8309AE001EB5DEDA 

8F000E44B3D4578E5CA55797FD4BD1P8E919BE787BDO 

3U2 = 925B0EDF5047EFEC5AFABDC03A830919761 

B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 
8FDEC740778BDC178AD7AF2968689B930D5A2359 
244 31.3 ^.28 ^jj^^jjj ^) = B711D89C03FDEA8D1F889134A4F809B3F2D 
8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 
BFB912A04F11D9DB9D076021764BC4F57D47834 
288 3226 ^56 (jj^Q^ ^) = 41 A83F1 19FFE4A2F4AC7E5597A5D0BEB4D4C 
08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 

FCC628021B4648D7EF757A3E461EFOCFFOEA13 
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2.76 ^ 3452 ^ jr,5.2 (jjjQ^ g^j-^ 488 9226 ^5.2 (j^^jj ^ 28AA7F12259BFBA8 
1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FCOF9D 
AC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA 

4AS29. 

On retrouve bien I'engagemeEiti?. L'authentification est reussie. 

Ssgaiatiiiire Hitimerique 

Le mdcanisme de signature numerique permet a line entity appelee 
signataire de produire des messages signes et a une entite appelee 
contrdleur de verifier des messages signes. Le message M est une sequence 
binaire quelconque : il pent dtre vide. Le message M est sign6 en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagem^ts-'et /fou d6^, ainsi que les tSponses correspondantes* 
Le contrdleur dispose^de la m&ne fonction de haehage, des^param^tres k et 
m et du module n. »Les paramdtres k et iw .renseignent le eontrdleur. D'lme 
part, chaque d6fi elementaire, de^, k t/„,^oit prendre une yaleur de 0 h 2*" - 
1 (les valeurs de v/2 a v-l ne sont pas utilisees). D'autrepart, chaque defi d 
doit compoiter m'defis elementaires notes de d^ a d^, autant que de nombres 
de base. En outrerfaute d'indication-eontraire, les m nombres de base, de 
a g„, sont les m premiers nombres premiers. Avec {k-l).m valant de 15 a 20, 
on peut signer avec quatre triplets GQ2 produits en paralldle ; avec (^-l)./n 
valant 60 ou plus, on peut signer avec un seul triplet GQ2. Par exemple, 
avec ifc= 9 et m = 8, un seul triplet GQ2 suffit ; chaque defi comporte huit 
octets et les nombres de base sont 2, 3, 5, 7, 1 1, 13, 17 et 19. 
L'operatiom de sigMatiire est une sequence de trois actes : un acte 
d'engagement, un acte de defi et un acte de r^ponse. Chaque acte produit un 
ou plusieurs triplets- GQ2 comprenanfe chaeun : un engagement R 0), un 
defi"*c? comp©s©*Ade^w 46iy5^^16toentaiasgSr^notesi»pa^ d„ et ime 

reponse£)(^0). 

Le signataire dispose d*une fonction de haehage, du parametre A: et de la cle 



priv6e GQ2, c'est-a-dire, de la factorisation du module n selon Tune des 
trois representations 6voquees ci-dessus. An seim dni sngmataire, om pemt 
isoler im temoim qui esiciate les actes d'cmgagememt et de rlpomse, de 
maniere a isoler les fonctions et les param^tres les plus sensibles du 
d^monstrateur. Pour calculer engagements et r^ponses, le temoin dispose du 
paramdtre k et de la cU privee GQ2, c'est-^-dire, de la factorisation du 
module n selon I'une des trois representations 6voquees ci-dessus. Le 
t6moin ainsi isol6 est semblaWe au t^oin defini au sein du demonstrateur. 
II peut correspondre k une reaUsation particuli^e, par exemple, ® une carte 
a puce relife ^ un PC formant ensemble le signataire, ou encore, » des 
programmes particulidrement prot^gfe au sein d'un PC. ou encore, « des 
programmes particulierement proteges au sein d'une carte a puce. 
1) L'acte d'emgfflgememt comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs privees de 0, a Q„ et du module n, 
il tire au hasard et en priv6 un ou plusieurs aleas r (0 < r < n) ; puis, par k 
616vations successives au carre (mod «), il transforme chaque alea r en un 
engagement R. 

R^r^ (modn) 

Lorsque le t6moin dispose des / facteurs premiers de p, k et des m.f 
composantes privees U tire au hasard et en prive une ou plusieurs 
collections de /aleas : chaque collection comporte un al6a r, par facteur 
premier (0 < r, < ; puis, par k elevations successives au carr6 (mod/?,), 
il transforme chaque alea r, en une composante d'engagement R,. 

Ri = ry (mod/?,) 

Pour chaque collection de/composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d* aleas. 

R = Restes Chinois(i?„ R^y...R) 
2) L'actc de deSi consiste a hacher tons les engagements R et le message k 



signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire prend ime valeur de 0 a v/2-1 ; par exemple, avec 
A: = 9 et TO =? 8, chaque defi comporte huit octetsi ll y a autant de*defis que 
d'engagements. 

d=d^ d^... d„, extraits du resultat Hash(M, R) 
3) L'acte de reponse comporte les operations suivantes. 
Lorsque la temoin dispose des m valeurs privees de a et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Tacte 
d'engagement et les valeurs priv6es selon les defis elementaires. 

X^Q^'-Q^'-'Qi" (modn) 
D^ r.X (mod n) 

Lorsque le t6moin dispose des / facteurs premiers de -p, h Py^ et des m.f 
composaates^^^priv^es^sgj^: il calcule '^une* ou«*plusieiaiFsr'Gollections de / 
composantes de r6ponse en utilisant chaque collection d'al6as de d'acte 
d' engagement : chaqueseoUeetion de composantes- de reponse comporte une 
composante par facteiffi^premieri 

Xf^OO^f'-Oii (mod/.,) 
DfSriJCi {mod Pi) 
Pour chaque collection de composantes de reponse, le temoin etablit une 
r6ponse selon la technique des restes chinois. II y a autant de reponses que 
de d6fis. 

D - Restes Chinois(D„ D^,... D) 
Le signataire sigme le message Af en lui adjoignant un appendice de 
signature comprenant : 

. ou bien, chaque triplet GQ2, c'est-a-dire, chaque engagement i?, chaque 
dh%id: et ehaqjaf 9r#oBs.e«0, 

- ou bien, chaque engagement R et chaque reponse D correspondante, 

- ou bien, chaque d6fi d et chaque reponse D correspondante. 
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Le d^roMleiraeiit de I'op^raitiom de v^rifficataom d6pend du contenu de 
I'appendice de signature. On distingue les trois cas. 

Am cas ou I'appemdke compremd ram ora plpsieuirs triplets, l'op6ration de 
controle comporte deux processus ind^pendants dont la chronologic est 
indiff6rente. Le contrdleur accepte le message sign6 si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit 6tre coherent (une relation appropri6e du 
type suivant doit atre verifiee) et recevable (la comparaison doit se feire sur 
une valeur non nulle). 

RY[Gf' ^D^' (mod n) oubien R^D^ YlGf' (mod n) 



Par exemple, on transfonne la reponse D par une sequence d'operations 
elementaires :kcan6s (modn) separes par k-\ multiplications ou divisions 
(mod n) par des nombres de base. Pour la i ieme multiplication ou division, 
qui s'effectue entre le i itme canr6 et le i+1 i^me carr6, le i ifeme bit du d6fi 
616mentaire indique s'il faut utiliser g,, le i i^e bit du defi 61dmentaire d, 
indique s'il faut utiUser g„... jusqu'au i ieme bit du defi eldmentaire d„ qui 
indique s'il faut utiliser g„. On doit ainsi retrouver chaque engagement R 
present dans I'appendice de signature. 

D'autre part, le ou les triplets doivent etre h^s au message M. En hachant 
tous les engagements R et le message M, on obtient un code de hachage a 
partir duquel on doit retrouver chaque d6fi d. 

d=d,d^...d„, identiques ceux extraits du r&ultat Hash(M, R) 
All cas oL I'appendice ne compremd pas de d^fi, I'operation de contrdle 
commence par la reconstitution de un ou plusieurs defis d' en hachant tous 
les engagements R et le message Af. 

d' = d\d\... d'„, extraits du resultat Hash(Af, R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coh6r«it (une relation appropriee du type suivant est verifiee) et 
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recevable (la comparaison se fait sur une valeur non nulle). 

ffl - • ^ ?w 

i?.J|Gf'' (modn) oubien- = .fjof'' (mod «) 

Am ca§ -OM i'appemdice me compremd paswd'eiigageisiiemtr i'op&ation de 
contrdle commenee par la reGonstitution de un ou plusieurs engagements R' 
selon ime des deux fonnules suivantes, celle qui est appropri^e. Aucun 
engagement r6tabli ne doit 6tre nul. 

R=D^'' lYlpf' (mod n) oubien R=D^ -O^^' 
1=1 '=1 
Ensuite, le contrdleur doit hacher tous les engagements /J ' et le message M 

de fa^on a reconstituer chaque d^fis d. 

d=d d ...d, identiqu.esvaceuK«»extFaits dU'^resullat^tH^^ 
Le contEolemiacGepte le message signe si et seulement- si chaque defi 
reconstitu6 est identique au d^fi correspondant figiwant-en appendice. 



Dans la presente demande, on a montr6 qu'il existait des couples de valeurs 
privee Q et publique G pennettant de mettre en ceuvre le proced6, le 
systeme et le dispositif selon I'invention destine k prouver Tauthenticitd 
d'une entity et/ou l'integiit6 et/ou I'authenticite d'un message. 
Dans la demande pendante ddposee le meme jour que la presente demande 
par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit tin proced6 pour 
produire des jeux de cles GQ2, k savoir, des modules n et des couples de 
valeurs pubUque-^ et privee Q dans le cas ou Texposaat v estn^gal k 2*. EUe 
est incoiporecvici par r6fi§rence. 



Revendicatton 



1. ProcedS d'autheatificatioii dynainique d'eiidt6s et de messages associ^s ainsi que de 
signature numdrique de messages mettant ea ceuvre la tecbnologie OQ ; 

ledh precede etant tel qu'il utilise des jeux de cles GQ produits de telle sorie que : 

- pour chaque nombre de base gi a g„ Tequation s g^ (mod n) ou v= 2^ a 
des solutions en x dans Tatmeau des entiers modulo n, 

- paimi les nombres q, & q„, , au moins un nombre qi est non trivial, 

- panni les 2xmnombre$ ± g] &± 11 y a au moins imr£sidu quadratique. 

2. Systeme d'authentification dynamique d^entites et de messages associSs ainsi que 
de signature numerique de messages mettant en ODuvre la tecbnologie GQ ; 

ledit syst&me £tant tel qu'il utilise des jeux de cl^ GQ produits de telle sorte que 

- pour chaque nombre de base gi a g„ Tcquation x'' s ^ (mod n) oA v== 2'' a 
des solutions en x dans I'anneau des entiers modulo n, 

- parmi les nombres qi ^ qm, au moins un nombie qj est nan trivial, 

- parmi les 2xjn nombres ±gii±gni,ilyaau moins unr6sidu quadratiqae. 

3. Proc6d6 pour produire des jeux de cles selon la tecbnologie GQ ; 
ledit proc6d6 6tant tel que 

- pour chaque nombre de base gi a g^ Tequation x"" s gj^ (mod n) oA v= 2^ a 
des solutions en x dans I'anneau des entiers modulo n, 

- parmi les nombres qi iq^, au moins unnomhreqi est non trivial, 

- parmi les 2xm nombres ±g, 4±gn,,ilyaau moins un residu quadratique. 
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Fig.lB 
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